Kritische Sicherheitslücke in MCP-Toolbox gefährdet Enterprise-Datenbankverbindungen

Der Fehler, der derzeit noch auf eine offizielle Bewertung durch das National Vulnerability Database (NVD) wartet, ermöglicht Angreifern die Ausnutzung einer DNS-Rebinding-Schwachstelle. Dies kann zu unbefugtem Zugriff auf Backend-Systeme führen.

Sicherheitsforscher identifizierten die Ursache in einer falsch konfigurierten Cross-Origin-Richtlinie innerhalb der SSE-Implementierung der MCP Toolbox.

Trotz früherer Bemühungen, während der Beta-Phase strengere Ursprungssteuerungen durchzusetzen, blieb ein entscheidender Sicherheitshintergrund zu permissiv und machte die Systeme anfällig für Cross-Domain-Angriffe. Die Schwachstelle wird technisch unter CWE-942 (Permissive Cross-domain Policy with Untrusted Domains) klassifiziert.

Die Fehlerquelle liegt in einem fest

Die Fehlerquelle liegt in einem fest codierten HTTP-Antwortheader, der den Wert von „Access-Control-Allow-Origin" auf einen Wildcard-Wert setzt. Diese Konfiguration erlaubt es jeder externen Domäne, mit dem SSE-Endpunkt zu interagieren und damit beabsichtigte Ursprungsbeschränkungen zu umgehen.

Zwar wurden „allowed-origins" und „allowed-hosts" eingeführt, doch wurden diese Kontrollen durch die Wildcard-Richtlinie faktisch außer Kraft gesetzt. Das Problem betrifft spezifisch Umgebungen, die die MCP Toolbox mit aktiviertem SSE unter der Spezifikation vom 05. November 2024 ausführen.

Dies gilt insbesondere dann, wenn Unternehmensdatenbank-Connectors über SSE-Endpunkte exponiert werden. Angreifer können DNS-Rebinding-Techniken nutzen, um einen Browser einer Opferperson dazu zu bringen, authentizierte Anfragen an interne Dienste zu senden. Dies kann potenziell sensible Daten offenlegen oder unbefugte Datenbankabfragen ermöglichen.

Sicherheitslage und Risiko

In einem typischen Angriffsszenario besucht ein Opfer eine bösartige Website. Der Angreifer nutzt daraufhin DNS-Rebinding, um Browseranfragen auf interne MCP Toolbox-Dienste umzuleiten. Aufgrund der permissiven Konfiguration des Cross-Origin Resource Sharing (CORS) erlaubt der Browser Interaktionen mit diesen internen Endpunkten.

Dies ermöglicht dem Angreifer letztlich einen indirekten Zugriff auf Unternehmensdatenbank-Connectors. Diese Angriffsform ist besonders gefährlich in Cloud- und Hybridumgebungen, in denen interne Dienste über Web-Oberflächen erreichbar sind, was die Angriffsfläche erheblich vergrößert.

Die Schwachstelle wird als DNS-Rebinding-Fehler aufgrund einer CORS-Fehlkonfiguration klassifiziert und ist der CWE-944 zugeordnet. Die betroffene Komponente ist der MCP Toolbox SSE-Handler, und die primäre Auswirkung besteht in einem unbefugten Zugriff auf interne Dienste.

Sicherheitslage und Risiko

Ein CVSS-Score wurde noch nicht zugewiesen, da die Bewertung durch das NVD noch aussteht. Entwickler haben die Schwachstelle in jüngsten Updates behoben, indem sie den Wildcard-Header für die Origin entfernt und eine strenge Validierung der Origin erzwungen haben.

Organisationen werden dringend aufgefordert, die MCP Toolbox auf die neueste gepatchte Version zu aktualisieren und in Produktionsumgebungen nachsichtige CORS-Richtlinien zu vermeiden.

Wesentliche defensive Maßnahmen umfassen die Beschränkung erlaubter Origins auf vertrauenswürdige Domains, das Deaktivieren unnötiger SSE-Endpunkte sowie die Überwachung des Netzwerkverkehrs auf ungewöhnliche interne Anfragen.

Sicherheitslage und Risiko

Sicherheitsteams sollten zudem ihre Bereitstellungen auditieren, um exponierte SSE-Endpunkte zu identifizieren und sicherzustellen, dass geeignete Zugriffskontrollmechanismen implementiert sind. Die Schwachstelle wurde öffentlich über das GitHub-Issue #3053 bekannt gegeben und im Pull-Request #3054 innerhalb des offiziellen MCP-Toolbox-Repositories behoben.

Vor diesem Hintergrund verdeutlicht der Vorfall, wie falsch konfigurierte Cross-Origin-Richtlinien in modernen Streaming-Technologien wie SSE kritische Sicherheitsrisiken nach sich ziehen können, wenn sie nicht ordnungsgemäß gesichert werden.