GoogleのMCP Toolbox for Databasesに重大な脆弱性が発見され、企業のデータベースシステムが深刻なリスクにさらされています。
CVE-2026-9739として追跡されているこの脆弱性は、CVSS 4.0スコア9.4という高い深刻度を持ちます。Server-Sent Events(SSE)トランスポートメカニズムを使用している組織に対し、未認証の攻撃者がDNSリバインディング攻撃を仕掛けることを可能にし、接続されたデータベースへの不正なコマンドレベルのアクセスを取得される恐れがあります。
この脆弱性の原因は、SSE初期化ハンドラーに誤って残されたハードコードのAccess-Control-Allow-Origin: *ヘッダーにあります。
MCP Toolboxのベータ段階において、GoogleのエンジニアはMCPセキュリティガイドラインに準拠するため、allowed-originsおよびallowed-hostsフラグを導入しました。
しかし、ワイルドカードのCORSヘッダーが意図せず残存し、MCPスペック v2024-11-05のSSE経由で接続するすべてのユーザーに対して、これらの保護設定を静かに無効化してしまっていました。
この脆弱性はCWE-942(信頼されないドメインに対する過剰な許容クロスドメインポリシー)に分類されており、ネットワークベースの攻撃ベクターを持ち、特権を必要とせず、機密性・完全性・可用性のすべてに高い影響を及ぼします。
未認証の攻撃者は、特にChromeユーザーを標的としたDNSリバインディング攻撃を通じてこの脆弱性を悪用できます。攻撃者が制御するドメインをブラウザに信頼済みのローカルリソースとして誤認させる手法です。
攻撃が成功した場合、CORSの保護を回避してToolboxインターフェースへの不正なSSE接続を確立し、Cloud SQL・AlloyDB・Spannerといった企業データベースに対して任意のコマンドを実行できる可能性があります。
こうしたDNSリバインディングの欠陥は、Go MCP SDKのCVE-2026-34742やMCP Java SDKのCVE-2026-35568など、複数のMCP実装にわたって確認されており、MCPサーバーにおけるオリジン検証の仕組みに構造的な弱点があることが浮き彫りになっています。
Googleは2026年5月27日に問題を認識し、2026年5月28日にはGitHubアドバイザリーを通じてパッチを公開しました。修正はGitHubのgoogleapis名前空間配下のissue #3053およびプルリクエスト #3054で管理されています。
現時点では、概念実証コードの公開や実際の悪用事例は確認されていません。ただし、CVSSスコアの深刻度の高さと企業への影響範囲の広さを考慮すると、迅速なパッチ適用が不可欠です。
翻訳元: https://cyberpress.org/mcp-toolbox-vulnerability-exposed/