2026 年 06 月 14 日の重要脆弱性: Google 製品など 2 件
/ 4 min read
Table of Contents
概要
本日、2026年6月14日に、深刻度「Critical」に分類されるCVSSスコア9.0以上の重要脆弱性が2件公開されました。これらの脆弱性は、GoogleのデータベースツールボックスにおけるDNSリバインディングの危険性、および給油所自動化システムにおける認証不備を指摘しており、いずれも遠隔からのシステム乗っ取りや広範な情報漏洩に繋がる恐れがあります。システム管理者および開発者は、速やかに影響範囲を確認し、推奨される対応を実施することが求められます。
CVE-2026-11624: Google MCP ToolboxにおけるDNSリバインディングの危険性
- CVSS: 9.4 (Critical)
- 影響: Google / MCP Toolbox for Databases — versions: 0 〜 < 0.25.0
概要
Model Context Protocol (MCP) Toolbox for Databasesに、DNSリバインディング攻撃を許容する脆弱性が発見されました。影響を受けるバージョンでは、サーバーが受信接続の”Origin”ヘッダーを検証する仕組みが提供されていなかったため、悪意のある攻撃者が細工したリクエストを正規のものとして処理させることが可能でした。これにより、システムへの不正アクセスや機密情報の窃取、データの改ざんなど、広範な影響が生じる危険性があります。
推奨対応
開発元はバージョン0.25.0で、新しい--allowed-hostsフラグと既存の--allowed-originsフラグを導入しました。ユーザーはこれらのフラグを用いて、サーバー起動時に許可されたホストを明示的に指定し、厳格なアクセス制御を実装することが推奨されます。これらのフラグがデフォルトの*に設定されている場合、サーバーは起動時に潜在的な脆弱性に関する警告を出力します。
参考
- https://github.com/googleapis/mcp-toolbox/issues/3113
- https://github.com/googleapis/mcp-toolbox/pull/2254
CVE-2026-12183: 給油所自動化システムにおける認証不備
- CVSS: 9.3 (Critical)
- 影響: Nefteprodukttekhnika LLC / BUK TS-G Gas Station Automation System — versions: 2.9.1 〜 <= 2.10.2 (affected)
概要
Nefteprodukttekhnika BUK TS-G 給油所自動化システムのLinux版バージョン2.9.1から2.10.2において、不適切な認証の脆弱性(CWE-287)が確認されました。この脆弱性は、システム設定モジュールの/php/ajax-login.phpエンドポイントに存在し、任意の認証情報を含むHTTP POSTリクエストに対して管理者(userid=1)として応答します。さらに、後続の特権エンドポイントはサーバーサイドのセッションを検証しないため、リモートの認証されていない攻撃者が管理機能を自由に実行できる状態でした。これにより、給油機の制御、価格設定、顧客データへのアクセス、現金回収など、システム全体が攻撃者の管理下に置かれる危険性があります。
推奨対応
この脆弱性に対処するため、Nefteprodukttekhnika社が提供する最新バージョンへの早急なアップデートが強く推奨されます。ベンダーアドバイザリ(bukts.ru/repo-bukts-current)を確認し、パッチの適用または一時的な回避策を講じてください。システムへの不正アクセスを防ぐため、ネットワークレベルでのアクセス制限や不審なリクエストの監視も併せて強化してください。
参考
- https://github.com/ciprobe/bukts_auth_bypass
- https://bukts.ru/repo-bukts-current
- https://cwe.mitre.org/data/definitions/287.html
- https://cwe.mitre.org/data/definitions/306.html