CRITICAL🇬🇧 English

CVE-2026-9739

DNS rebinding via hardcoded CORS header w MCP Toolbox (SSE)

CVSS 9.4v4.0pub. 2026-05-27upd. 2026-05-29

Podatność w Google MCP Toolbox umożliwia przeprowadzenie ataku DNS rebinding na połączenia SSE (Server-Sent Events). Błędnie pozostawiony nagłówek `Access-Control-Allow-Origin: *` w handlerze inicjalizacji SSE pozwala dowolnemu źródłu na dostęp do zasobów, omijając zabezpieczenia CORS.

Pokaż oryginał (EN)

Vulnerable to DNS rebinding attacks when using SSE (http://b/499408790). During the beta phase, we implemented `allowed-origins` and `allowed-hosts` flags to align with MCP security guidelines. However, the hardcoded `Access-Control-Allow-Origin: *` header in the SSE initialization handler was inadvertently retained. This vulnerability specifically impacts users connecting via Toolbox using SSE under specification v2024-11-05.

🤖 Analiza AI
Jak działa

Podczas fazy beta w MCP Toolbox wprowadzono flagi `allowed-origins` i `allowed-hosts` mające chronić przed nieautoryzowanym dostępem zgodnie z wytycznymi bezpieczeństwa MCP. Jednak w handlerze inicjalizacji SSE pozostał zakodowany na stałe nagłówek `Access-Control-Allow-Origin: *`, który nie był objęty tą ochroną. Atakujący może wykorzystać tę lukę poprzez atak DNS rebinding — technikę polegającą na manipulacji rozwiązywaniem DNS tak, by złośliwa strona internetowa uzyskała dostęp do lokalnych zasobów ofiary. Wymaga to interakcji użytkownika (np. odwiedzenia złośliwej strony), po czym atakujący może komunikować się z lokalną instancją Toolbox przez SSE.

Skutki

Atakujący może uzyskać nieautoryzowany dostęp do instancji MCP Toolbox ofiary, potencjalnie odczytując, modyfikując dane lub wykonując polecenia w kontekście podłączonych narzędzi — zarówno po stronie klienta, jak i systemów zależnych (wysoki wpływ na poufność, integralność i dostępność w obu zakresach).

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami — poprawka dostępna w pull requeście https://github.com/googleapis/mcp-toolbox/pull/3054. Do czasu aktualizacji zaleca się ograniczenie dostępu sieciowego do instancji MCP Toolbox oraz unikanie ekspozycji endpointów SSE na niezaufanych interfejsach sieciowych.

Kogo dotyczy

Użytkownicy łączący się przez Toolbox z wykorzystaniem SSE według specyfikacji v2024-11-05; szczegółowe wersje wskazane w referencjach producenta (https://github.com/googleapis/mcp-toolbox/issues/3053)

Uwagi

Podatność dotyczy wyłącznie połączeń SSE według specyfikacji v2024-11-05. Flagi `allowed-origins` i `allowed-hosts` nie chroniły przed tym problemem ze względu na pominięty hardcoded nagłówek w handlerze inicjalizacji SSE. Zgłoszenie pochodzi z publicznego repozytorium Google (googleapis/mcp-toolbox).

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:A/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje