Apache Software FoundationのApache Doris-MCP-ServerにおけるSQL インジェクションの脆弱性
| Title |
Apache Software FoundationのApache Doris-MCP-ServerにおけるSQL インジェクションの脆弱性
|
| Summary |
Apache Doris MCPサーバーのバージョン0.6.1未満には、クエリコンテキスト処理における適切でない無害化の欠陥が存在し、意図しないSQL文が実行される可能性があります。また、MCPクエリ実行インターフェースを通じて、意図されたクエリ検証やアクセス制限を回避できてしまいます。バージョン0.6.1以降ではこれらの問題は修正されています。
|
| Possible impacts |
当該ソフトウェアが扱う情報の一部が外部に漏れる可能性があります。 また、当該ソフトウェアが扱う情報について、書き換えは発生しません。 さらに、当該ソフトウェアは停止しません。 そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。 |
| Solution |
正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 |
| Publication Date |
April 20, 2026, midnight |
| Registration Date |
April 24, 2026, 11:34 a.m. |
| Last Update |
April 24, 2026, 11:34 a.m. |
|
CVSS3.0 : 警告
|
| Score |
5.3
|
| Vector |
CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N |
Affected System
| Apache Software Foundation |
|
Apache Doris-MCP-Server 0.1.0 以上 0.6.1 未満
|
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
その他
Change Log
| No |
Changed Details |
Date of change |
| 1 |
[2026年04月24日]
掲載 |
April 24, 2026, 11:34 a.m. |
NVD Vulnerability Information
CVE-2025-66335
| Summary |
Apache Doris MCP Server versions earlier than 0.6.1 are affected by an improper neutralization flaw in query context handling that may allow execution of unintended SQL statements and bypass of intended query validation and access restrictions through the MCP query execution interface. Version 0.6.1 and later are not affected.
|
| Publication Date |
April 20, 2026, 11:16 p.m. |
| Registration Date |
April 21, 2026, 4:09 a.m. |
| Last Update |
April 22, 2026, 11:17 p.m. |
Affected software configurations
| Configuration1 |
or higher |
or less |
more than |
less than |
| cpe:2.3:a:apache:doris_mcp_server:*:*:*:*:*:*:*:* |
0.1.0 |
|
|
0.6.1 |
Related information, measures and tools
Common Vulnerabilities List