30秒で判断
対応すべき人:
- Serena MCP toolkit 1.5.2 未満を使用している開発者
- Serenaを実行中に外部サイトを閲覧している可能性がある環境
対応不要な人:
- Serena v1.5.2 以降を使用している場合
- Serena MCPを使用していない場合
確認コマンド:
# Serenaバージョン確認
pip show serena
# または
uv pip show serena
概要
Serena(AI コーディング用MCPツールキット)の内蔵Webダッシュボードが、認証なしのFlask APIを固定・予測可能なポートでバインドします。APIには認証、CSRFプロテクション、Hostヘッダー検証がありません。
DNSリバインド攻撃により、悪意あるWebページからAPIにアクセスして、エージェントの永続メモリストアに任意コンテンツを書き込めます。エージェントはこのメモリを読み取り自律的に行動し、execute_shell_command(shell=True使用)と組み合わせることでリモートコード実行チェーンが成立します。
攻撃の流れ: 被害者が悪意あるWebページを訪問 → DNSリバインド → SerenaのAPIに到達 → エージェントメモリに悪意ある命令を書き込む → エージェントがシェルコマンドを実行
CVSSベクトル
| 項目 | 値 | 説明 |
|---|---|---|
| Attack Vector | Network | ネットワーク経由 |
| Attack Complexity | High | DNSリバインド攻撃が必要 |
| Privileges Required | None | 認証不要 |
| User Interaction | Required | 被害者がWebページを訪問する必要 |
| Scope | Changed | |
| Confidentiality | High | ファイルシステムへのアクセス |
| Integrity | High | 任意コマンド実行 |
| Availability | High | システム破壊可能 |
影響を受けるソフトウェア
| 製品 | ベンダー | 影響バージョン |
|---|---|---|
| Serena MCP toolkit | oraios | < 1.5.2 |
修正バージョンと対応策
推奨対応: Serena v1.5.2 以降へのアップデート
pip install --upgrade serena
# または
uv pip install --upgrade serena
関連リンク
データソース: NVD (NIST), GitHub Advisory Database
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。
