MCP
MCP Go SDK にDNSリバインディング脆弱性(CVE-2026-34742)— v1.4.0へのアップデート推奨
元記事を読む →Summary
Model Context Protocol Go SDKにDNSリバインディング脆弱性(CVE-2026-34742)が公開された。HTTP ベースのMCPサーバーをlocalhost上で認証なしに実行している場合、悪意あるWebサイトがDNSリバインディングを悪用して同一オリジンポリシーを迂回し、MCPサーバーにアクセス可能。stdioトランスポートは影響を受けない。v1.4.0でStreamableHTTPHandler・SSEHandlerにデフォルトでDNSリバインディング保護が有効化された。
Key Takeaways
- HTTPベースのMCPサーバーをlocalhost上で認証なしに実行している場合に脆弱性が存在
- stdioトランスポートは影響なし、HTTPベースのサーバーのみが対象
- v1.4.0でStreamableHTTPHandler・SSEHandlerにデフォルトDNSリバインディング保護が追加
- MCPセキュリティベストプラクティスとして、HTTP MCPサーバーのlocalhostバインド時は認証を設定することが推奨
Best Practice Updates
- MCP Go SDK利用者はv1.4.0以上へ即座にアップデートし、HTTPベースサーバーのDNSリバインディング保護を有効化する
- localhost上のHTTP MCPサーバーには必ず認証を設定する
元記事の著作権は各著作者に帰属します。