| タイトル | Apache Software FoundationのApache Doris-MCP-ServerにおけるSQL インジェクションの脆弱性 |
|---|---|
| 概要 | Apache Doris MCPサーバーのバージョン0.6.1未満には、クエリコンテキスト処理における適切でない無害化の欠陥が存在し、意図しないSQL文が実行される可能性があります。また、MCPクエリ実行インターフェースを通じて、意図されたクエリ検証やアクセス制限を回避できてしまいます。バージョン0.6.1以降ではこれらの問題は修正されています。 |
| 想定される影響 | 当該ソフトウェアが扱う情報の一部が外部に漏れる可能性があります。 また、当該ソフトウェアが扱う情報について、書き換えは発生しません。 さらに、当該ソフトウェアは停止しません。 そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。 |
| 対策 | 正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 |
| 公表日 | 2026年4月20日0:00 |
| 登録日 | 2026年4月24日11:34 |
| 最終更新日 | 2026年4月24日11:34 |
| CVSS3.0 : 警告 | |
| スコア | 5.3 |
|---|---|
| ベクター | CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N |
| Apache Software Foundation |
| Apache Doris-MCP-Server 0.1.0 以上 0.6.1 未満 |
| No | 変更内容 | 変更日 |
|---|---|---|
| 1 | [2026年04月24日] 掲載 |
2026年4月24日11:34 |
| 概要 | Apache Doris MCP Server versions earlier than 0.6.1 are affected by an improper neutralization flaw in query context handling that may allow execution of unintended SQL statements and bypass of intended query validation and access restrictions through the MCP query execution interface. Version 0.6.1 and later are not affected. |
|---|---|
| 公表日 | 2026年4月20日23:16 |
| 登録日 | 2026年4月21日4:09 |
| 最終更新日 | 2026年4月22日23:17 |
| 構成1 | 以上 | 以下 | より上 | 未満 | |
| cpe:2.3:a:apache:doris_mcp_server:*:*:*:*:*:*:*:* | 0.1.0 | 0.6.1 | |||