| Title | GoogleのChrome-devtools-mcpにおける複数の脆弱性 |
|---|---|
| Summary | Chrome DevTools for agents (chrome-devtools-mcp) は、コーディングエージェントがライブのChromeブラウザを制御および検査できる機能を提供します。バージョン0.24.0から1.1.0までの間、McpContext.validatePath() は、path.resolve(filePath) が設定されたワークスペースルートのいずれかの下に文字列として含まれているかどうかを確認することでワークスペースルートを強制していました。しかし、path.resolve() はシンボリックリンクを正規化しません。その結果、設定されたワークスペースルート内のシンボリックリンクがルート外のファイルを指していても検証を通過し、その後のファイルの読み書き操作で追跡される恐れがありました。このバイパスは、MCPクライアントが空でないリストでルート機能を正しく宣言している場合でも適用されます。これは、ルート機能が欠如している場合にすべてのパスを許可するという既存の動作とは異なります。実際の影響としては、ワークスペース境界のバイパスが発生します。書き込み方向では、filePath書き込みツールがルート内のシンボリックリンクを通じてルート外のファイルを上書きする可能性があります。読み取り方向では、upload_fileがシンボリックリンクを経由してファイルを読み取り、現在選択されているウェブページに送信できます。この脆弱性はバージョン1.1.0で修正されました。 |
| Possible impacts | ・当該ソフトウェアが扱う情報について、外部への漏えいは発生しません。 ・当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。 ・当該ソフトウェアの一部が停止する可能性があります。 |
| Solution | ベンダ情報を参照して適切な対策を実施してください。 |
| Publication Date | June 24, 2026, midnight |
| Registration Date | June 29, 2026, 11:23 a.m. |
| Last Update | June 29, 2026, 11:23 a.m. |
| CVSS3.0 : 警告 | |
| Score | 6.1 |
|---|---|
| Vector | CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:L |
| Chrome-devtools-mcp 0.24.0 以上 1.1.0 未満 |
| No | Changed Details | Date of change |
|---|---|---|
| 1 | [2026年06月29日] 掲載 |
June 29, 2026, 11:23 a.m. |
| Summary | Chrome DevTools for agents (chrome-devtools-mcp) lets your coding agent control and inspect a live Chrome browser. From 0.24.0 until 1.1.0, McpContext.validatePath() enforces workspace roots by checking whether path.resolve(filePath) textually falls under one of the configured root paths. path.resolve() does not canonicalize symbolic links. As a result, a symlink inside a configured workspace root can point to a file outside that root, pass validation, and then be followed by downstream file read/write operations. This bypass applies even when the MCP client correctly declares the roots capability with a non-empty list. It is separate from the documented legacy behavior where missing roots capability allows all paths. The practical impact is a workspace-boundary bypass. In the write direction, filePath-writing tools can overwrite out-of-root files through an in-root symlink. In the read direction, upload_file can read through the symlink and send the file to the currently selected web page. This vulnerability is fixed in 1.1.0. |
|---|---|
| Publication Date | June 25, 2026, 7:16 a.m. |
| Registration Date | June 27, 2026, 4:24 a.m. |
| Last Update | June 26, 2026, 9:16 a.m. |