Podatność w Google MCP Toolbox umożliwia przeprowadzenie ataku DNS rebinding na połączenia SSE (Server-Sent Events). Błędnie pozostawiony nagłówek `Access-Control-Allow-Origin: *` w handlerze inicjalizacji SSE pozwala dowolnemu źródłu na dostęp do zasobów, omijając zabezpieczenia CORS.
▸ Pokaż oryginał (EN)
Vulnerable to DNS rebinding attacks when using SSE (http://b/499408790). During the beta phase, we implemented `allowed-origins` and `allowed-hosts` flags to align with MCP security guidelines. However, the hardcoded `Access-Control-Allow-Origin: *` header in the SSE initialization handler was inadvertently retained. This vulnerability specifically impacts users connecting via Toolbox using SSE under specification v2024-11-05.
Podczas fazy beta w MCP Toolbox wprowadzono flagi `allowed-origins` i `allowed-hosts` mające chronić przed nieautoryzowanym dostępem zgodnie z wytycznymi bezpieczeństwa MCP. Jednak w handlerze inicjalizacji SSE pozostał zakodowany na stałe nagłówek `Access-Control-Allow-Origin: *`, który nie był objęty tą ochroną. Atakujący może wykorzystać tę lukę poprzez atak DNS rebinding — technikę polegającą na manipulacji rozwiązywaniem DNS tak, by złośliwa strona internetowa uzyskała dostęp do lokalnych zasobów ofiary. Wymaga to interakcji użytkownika (np. odwiedzenia złośliwej strony), po czym atakujący może komunikować się z lokalną instancją Toolbox przez SSE.
Atakujący może uzyskać nieautoryzowany dostęp do instancji MCP Toolbox ofiary, potencjalnie odczytując, modyfikując dane lub wykonując polecenia w kontekście podłączonych narzędzi — zarówno po stronie klienta, jak i systemów zależnych (wysoki wpływ na poufność, integralność i dostępność w obu zakresach).
Należy zastosować patche dostępne u producenta zgodnie z referencjami — poprawka dostępna w pull requeście https://github.com/googleapis/mcp-toolbox/pull/3054. Do czasu aktualizacji zaleca się ograniczenie dostępu sieciowego do instancji MCP Toolbox oraz unikanie ekspozycji endpointów SSE na niezaufanych interfejsach sieciowych.
Użytkownicy łączący się przez Toolbox z wykorzystaniem SSE według specyfikacji v2024-11-05; szczegółowe wersje wskazane w referencjach producenta (https://github.com/googleapis/mcp-toolbox/issues/3053)
Podatność dotyczy wyłącznie połączeń SSE według specyfikacji v2024-11-05. Flagi `allowed-origins` i `allowed-hosts` nie chroniły przed tym problemem ze względu na pominięty hardcoded nagłówek w handlerze inicjalizacji SSE. Zgłoszenie pochodzi z publicznego repozytorium Google (googleapis/mcp-toolbox).
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:A/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X