30秒で判断
対応すべき人:
googleapis/mcp-toolboxを使用しているAIエージェント開発者・運用者- mcp-toolboxのHTTPツールにユーザーが制御できる
pathParamsを持つツールがある
対応不要な人:
- mcp-toolboxを使用していない
- HTTPツールのpathParamsがユーザー制御のInput値でなく固定値のみ
- 修正後のバージョンを使用済み(PRマージ後のビルド)
確認方法:
# mcp-toolboxのバージョン確認(使用している場合)
# ツール定義の pathParams にユーザー入力が渡されているか確認
概要
googleapis/mcp-toolbox のHTTPツールURLビルダーにおいて、ユーザーが制御する pathParams をツール設定のパスに展開した後、ResolveReference によるURL解決を行う処理にパストラバーサル脆弱性が存在します。
スキーム、ホスト、ユーザー情報の変更がないか確認するチェックが実施されますが、ResolveReference によるURL解決中にドットセグメント(../)が正規化されます。このため、攻撃者は pathParams に ../../admin/secrets のようなパストラバーサルシーケンスを含めることで、オペレーターが設定した制限パス(例: /api/v1/users/{{.id}})から逸脱し、同じターゲットホスト上の制限されたエンドポイント(例: /admin/secrets)へのリクエストを発生させられます。
この際、mcp-toolboxが設定したクレデンシャル(APIキー等)が一緒に送信されるため、意図せず認証情報が漏洩する可能性があります。
MCP(Model Context Protocol)を使ったAIエージェント統合で使用されるツールであり、外部ユーザーがツールのパラメータを指定できる環境では影響が大きくなります。
CVSSベクトル
| 項目 | 値 |
|---|---|
| CVSSスコア | 9.1(Critical) |
| CWE | CWE-22(パストラバーサル) |
| 攻撃元区分 (AV) | ネットワーク (N) |
| 攻撃条件の複雑さ (AC) | 低 (L) |
| 必要な特権 (PR) | なし (N) |
| ユーザーの関与 (UI) | 不要 (N) |
影響を受けるソフトウェア
| 製品 | 影響バージョン |
|---|---|
| googleapis/mcp-toolbox | 修正PR #3218 マージ前のバージョン |
修正バージョンと回避策
修正: GitHub PR #3218 で修正。最新バージョンへのアップグレードを推奨します。
回避策(アップグレードが困難な場合):
- HTTPツールのpathParamsを固定値のみに制限し、ユーザー入力を受け付けないようにする
- pathParamsのバリデーションを強化し、
..、/等の特殊文字を含む値を拒否する
関連リンク
データソース: NVD (NIST) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。
