注目github_advisory2分
Meta Ads MCP v1.0.101以下で未認証のアクセストークン漏洩 CVSS 9.1
30秒で把握
- 1Meta Ads MCP v1.0.101以下で未認証HTTPリクエストがMCPツールを直接呼び出せる欠陥
- 2CVSS 9.1(CWE-287)・APIエラー時にMETAアクセストークンがJSONレスポンスに露出
- 3v1.0.102〜1.0.105はgitタグ未付与でパッチ適用状況未確認・即時トークンローテーション要
要約
Meta Ads MCP(pipeboard-co/meta-ads-mcp)v1.0.101以下に、認証バイパスによるアクセストークン漏洩の脆弱性(CVE-2026-48039、CVSS 9.1)が判明した。`AuthInjectionMiddleware.dispatch()`が未認証のHTTPリクエストをそのままMCPツールハンドラへ転送し、リクエスト単位の認証情報が存在しない場合は環境変数`META_ACCESS_TOKEN`にフォールバックする。Meta Graph API呼び出しが失敗した際、エラーレスポンスのJSON-RPCボディにアクセストークンがクエリパラメータとして含まれた生URLが出力され、未認証の呼び出し元にオペレーターのトークンが渡る。v1.0.102〜v1.0.105はgitタグが存在しないためパッチ適用状況は未確認。
あなたへの影響
Meta Ads MCPをHTTPモードで本番運用しているチームは、オペレーターのMeta広告アカウントへの不正アクセスが発生し得るため、`META_ACCESS_TOKEN`の即時ローテーションと当該サービスの一時停止、またはネットワーク境界でのアクセス制限を今日中に実施すること。
推奨:v1.0.102以降のパッチ状況は未確定のため、公式リリースノートとgitタグを確認してから更新判断を行うことを推奨。