ホーム / Critical Brief / No. 027

ユーザー指定の MCP URL からサーバーの秘密情報が漏れた(LibreChat)

Pillar 03 · エージェント権限証明 エージェント基盤 認証・認可
事案日
2026-06-02
公開日
2026-06-05
発行
Lemma Critical Team
関連 Pack
Pack AIncident Response

TL;DR

2026 年 6 月 2 日、マルチプロバイダ対応の AI チャット基盤 LibreChat に CVE-2026-32625(CVSS 9.6、Critical)が公開された。0.8.3 以前の MCP サーバー統合は、ユーザーが指定する MCP サーバー URL の Zod スキーマ検証時に、URL 内の ${VAR} プレースホルダをサーバー自身の process.env に対して解決する。低権限の認証済みユーザーが ${CREDS_KEY}${MONGO_URI} を埋め込んだ攻撃者ドメインの URL を MCP サーバーとして登録するだけで、LibreChat サーバーは暗号鍵・JWT secret・DB 接続情報をリクエスト URL に載せて攻撃者のサーバーへ送信する。管理者権限は不要で、インストール全体の暗号基盤と認証情報が侵害される。修正は 0.8.4-rc1。本事象は Pillar 03(エージェント権限証明)の agent-infrastructure における、エージェントの接続先を記述する設定値そのものが、特権文脈で解釈される未検証入力であることを示す事例であり、Brief 003(MCP server の認証回避)に続くエージェント基盤の信頼境界の問題を構成する。

事案概要

  • 対象: LibreChat(danny-avila/LibreChat)0.8.3 以前の MCP サーバー統合
  • 識別子: CVE-2026-32625 / GHSA-4pcc-j6m6-wcwx(CWE-200: 認可されないアクターへの機微情報露出)
  • 深刻度: CVSS 3.1 = 9.6(Critical)。AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:N — ネットワーク経由・低い攻撃複雑性・低権限で足り・ユーザー操作不要・スコープ変更あり
  • 公開日: 2026-06-02(GitHub Security Advisory 経由、CVE reserve は 2026-03-12)
  • 根本原因: ユーザー入力である MCP サーバー URL のスキーマ検証過程で、${VAR} 形式のプレースホルダがサーバーの process.env に対して展開される。本来は運用者向けの設定機能である環境変数参照が、認証済みユーザー全員の入力に対して有効だった
  • 流出対象: CREDS_KEY / CREDS_IV(認証情報暗号鍵)、JWT_SECRETMONGO_URI 等。これらはインストールの暗号材料と DB 接続情報そのものであり、流出すれば全ユーザーのデータと認証基盤が侵害される
  • 悪用状況: CISA の SSVC 評価で Exploitation: poc(概念実証あり)。修正版 0.8.4-rc1 で対処済み

タイムライン

  • 2026-03-12: CVE 番号が reserve される(GitHub assigner)
  • 2026-06-02: GitHub Security Advisory(GHSA-4pcc-j6m6-wcwx)と CVE-2026-32625 が公開。修正版 0.8.4-rc1 が利用可能に
  • 2026-06-03: CISA が SSVC 評価(Exploitation: poc / Technical Impact: total)を付与
  • 2026-06-04: NVD が解析完了(CVSS 9.6 Critical 確定)

攻撃ベクター

  1. 低権限アカウントの取得: 攻撃者は対象 LibreChat インスタンスの一般ユーザーアカウントを取得する。多くの公開インスタンスではセルフサインアップが有効である
  2. 悪性 MCP サーバー設定の作成: MCP サーバー URL として、攻撃者支配下のドメインに ${CREDS_KEY} / ${CREDS_IV} / ${JWT_SECRET} / ${MONGO_URI} 等のプレースホルダを埋め込んだ URL を登録する
  3. 検証過程での環境変数展開: LibreChat サーバーは URL の Zod スキーマ検証時に、プレースホルダを自身の process.env の値で置換する。ユーザー入力と運用者設定の区別はない
  4. 接続による流出: 展開済み URL に対して LibreChat サーバーが接続を行い、秘密情報が URL の一部として攻撃者のサーバーのアクセスログに記録される
  5. 全面侵害への展開: 流出した暗号鍵で保存済み認証情報の復号、JWT secret でのトークン偽造、MONGO_URI での DB 直接アクセスが可能になる

構造的論点

本事象は Pillar 03(エージェント権限証明)の agent-infrastructure カテゴリに属する。中心的な失敗 primitive は、エージェントがどの外部サーバーに接続するかを記述する設定値が、ユーザー由来の未検証入力のまま、サーバーの特権文脈(process.env)で解釈された点にある。secondary に identity-auth を併記する。

Brief 003(Starlette/BadHost)と同じくエージェント基盤の信頼境界の問題だが、方向が異なる。003 は外部からの HTTP Host ヘッダー操作で MCP server への入口(認証)が回避された事例、本事象はユーザーが指定する接続先設定という出口側で、接続行為そのものが秘密情報の搬出経路になった事例である。両者に共通するのは、MCP というエージェント接続層が、従来の Web アプリケーションでは入力検証の対象として確立していた境界(ヘッダー、ユーザー入力 URL)を、エージェント設定という新しい皮をかぶせたまま特権的に処理してしまう構造である。

エージェント基盤の文脈では、MCP サーバーの登録は「エージェントに新しい能力と接続先を与える」権限行為に相当する。本事象は、その権限行為が誰の認可で・どの範囲の文脈にアクセスして実行されるのかが検証されないとき、設定の記述形式(プレースホルダ)ひとつで権限境界が崩れることを示している。

検出と証明の落差

脆弱性スキャナや依存関係監査、egress の監視は、既知 CVE への対処と異常通信の発見に不可欠であり、本 Brief がその役割を否定するものではない。本事象も advisory 公開と修正版の即日提供という、coordinated disclosure の正常系で処理された。

一方で、検出は「サーバーがどの接続先に・何を載せて接続するか」の決定自体を変えない。本事象の悪用通信は、LibreChat サーバー自身が発する正規の outbound HTTPS 接続であり、宛先は攻撃者ドメインだが通信パターンとしては MCP サーバーへの正常な接続試行と区別がつかない。秘密情報は暗号化された TLS の URL パスに載って出ていくため、内容検査でも捕捉は難しい。欠けていたのは「この MCP 接続設定は誰が登録し、どの環境文脈にアクセスすることが認可されているか」の実行前検証であり、これは通信の監視とは別系統である。監査の観点でも、流出後に「どの秘密が・いつ・誰の登録した設定で送出されたか」を立証する独立した証跡は、アクセスログの突合以上のものが残らない。

事前証明(pre-execution attestation)は、エージェント基盤への接続先登録を権限行為として扱い、設定値が解釈される前に「登録者の権限」「設定が参照しうる文脈の範囲」を独立検証可能な証明として要求する設計を採る。proof が「この設定は登録者の権限を超える文脈(サーバー環境変数)を参照する」と告げれば、接続は実行前に block される(検出と事前証明の thesis は 「AI 時代のサイバー防衛に残された、最後の層」(Lemma、2026-05)を参照)。

対応経緯と業界動向

  • LibreChat: GitHub Security Advisory(GHSA-4pcc-j6m6-wcwx)として coordinated disclosure を実施し、修正版 0.8.4-rc1 を公開。修正はユーザー入力 URL に対する環境変数展開の無効化
  • CISA / NVD: 公開翌日に SSVC 評価(Exploitation: poc / Technical Impact: total)、2 日後に NVD 解析完了と、AI 基盤系 CVE としては早いサイクルで処理された
  • 業界横断の論点: MCP 統合を持つ AI チャット/エージェント基盤は 2026 年に入り CVE の集中領域になっており(Brief 003 の Starlette/BadHost、各種 MCP server の認証不在の調査報告等)、「エージェント接続層の設定値をどの信頼レベルで扱うか」が共通の設計課題として浮上している

セルフホスト型 AI 基盤の普及により、同種の「設定値経由の特権文脈アクセス」は LibreChat 固有ではなく、MCP クライアント実装一般の検証項目になりつつある。

Lemma による分析

本事象で露呈した検出と証明の落差(エージェントの接続先設定が、登録者の権限と参照可能な文脈の範囲について独立検証されないまま特権文脈で解釈される)に対して、Lemma は、エージェント基盤への接続先登録・能力付与を権限行為として証跡化し、実行前に「誰が・何を・どの範囲で」認可したかを独立検証可能な証明として検証する設計を提示している。エージェント権限証明の設計思想は Pillar 03 — エージェント権限証明(Lemma)を参照のこと。

Sources

Brief 配布について

Lemma Critical Brief は Lemma が発行する threat intelligence brief です。本資料は公開情報の構造化分析であり、特定の組織への監査・診断・推奨ではありません。意思決定の参考として用いる場合は、貴組織の Lemma Critical 担当に直接ご相談ください。

Discovery Call → ホワイトペーパー → ✉️ ニュースレター →

(c) 2026 FRAME00, INC. — Built for decisions that matter.

関連 Brief
エージェント基盤の全 11 件を見る
No. 037 · 2026-06-09

AI コーディングエージェントが、リポジトリ同梱の設定ファイルを無検証で自動実行した

承認プロンプトや署名検査では届かない、エージェントの権限・来歴の落差

エージェント基盤 認証・認可
Brief →
No. 029 · 2026-06-06

github.dev で OAuth トークンが 1 クリックで窃取された

webview が合成イベントを信頼し、トークンは閲覧リポジトリにスコープされていなかった

エージェント基盤 認証・認可
Brief →
No. 025 · 2026-06-05

MCP の標準設計が、広範な遠隔コード実行(RCE)の経路になった

特定言語の実装バグではなく、対応言語を横断するリファレンス SDK の設計に内在

エージェント基盤 認証・認可コード来歴
Brief →
No. 003 · 2026-05-30

MCP サーバーの認証が Host ヘッダー操作で回避された(Starlette / BadHost)

2026 年 5 月 27 日、Python の ASGI フレームワーク Starlette(週 3.25 億ダウンロード)に CVE-2026-48710(BadHost)が公開された。HTTP Host ヘッダーへの 1 文字挿入で、…

エージェント基盤 認証・認可
Brief →
No. 046 · 2026-06-12

設定ひとつで認証が外れ、未認証のまま顧客インスタンスが照会された

ServiceNow の REST エンドポイントが、要求者の認可を実行前に証明していなかった構造

認証・認可 エージェント基盤属性証明バイパス
Brief →
No. 033 · 2026-06-08

1 台のエッジ機器の侵害が、ドメイン全体の侵害に連鎖した

社内で暗黙に信頼された F5 BIG-IP が、保存された資格情報ごと横展開の足場になった

認証・認可 エージェント基盤属性証明バイパス
Brief →

Lemma Critical Monthly

実際に起きたリスク事案の構造分析(Critical Brief)を軸に、検出の先に必要な「証明」への視点を月 1 回お届け。

ニュースレターを購読
Cite this Brief

この Brief を引用する

Lemma Critical Team. (2026).
"ユーザー指定の MCP URL からサーバーの秘密情報が漏れた(LibreChat)".
Lemma Critical Brief No.027. Lemma / FRAME00, Inc.
https://lemma.frame00.com/ja/critical/briefs/027-librechat-mcp-url-secrets/