プラットフォーム
python
コンポーネント
excel-mcp-server
修正版
0.1.9
0.1.8
CVE-2026-40576は、excel-mcp-serverにおいてパス・トラバーサル脆弱性が確認されています。この脆弱性を悪用されると、攻撃者は認証なしでホストファイルシステム上の任意のファイルを読み書き、上書きすることが可能となり、システムへの深刻な影響が想定されます。影響を受けるバージョンは0.1.0から0.1.7です。バージョン0.1.8で修正されています。
この脆弱性は、excel-mcp-serverがSSEまたはStreamable-HTTPトランスポートモードでリモートで使用される際に特に危険です。攻撃者は、細工されたfilepath引数をMCPツールハンドラに送信することで、EXCELFILESPATH環境変数で設定されたディレクトリに限定されるはずのファイル操作を回避できます。これにより、機密情報の窃取、システムの改ざん、さらにはリモートからのコード実行といった攻撃が可能になる可能性があります。この脆弱性は、Log4Shellのようなファイル操作の制限を回避する攻撃パターンと類似しています。
この脆弱性は、2026年4月21日に公開されました。現時点では、KEVに登録されていませんが、CVSSスコアがCRITICALであるため、悪用される可能性は高いと考えられます。公開されているPoCは確認されていませんが、脆弱性の性質上、早期に悪用される可能性があります。NVDおよびCISAの情報を継続的に監視してください。
エクスプロイト状況
EPSS
0.06% (19% パーセンタイル)
CVSS ベクトル
まず、excel-mcp-serverをバージョン0.1.8にアップデートすることを強く推奨します。アップデートがすぐに利用できない場合は、ネットワークセグメンテーションを実施し、excel-mcp-serverへのアクセスを信頼できるネットワークに限定してください。WAFやプロキシサーバーを使用して、不正なファイルパスを検出し、ブロックすることも有効です。また、EXCELFILESPATH環境変数を厳密に設定し、アクセス可能なディレクトリを最小限に抑えることで、攻撃の影響範囲を限定できます。アップデート後、ファイルシステムの整合性を確認し、不正なファイルが存在しないことを確認してください。
バージョン 0.1.8 以降にアップデートすることで、パス・トラバーサル脆弱性を軽減します。このアップデートは、システム上のファイルへの不正アクセスを可能にしていた `get_excel_path()` 関数の不具合を修正します。
脆弱性分析と重要アラートをメールでお届けします。
CVE-2026-40576は、excel-mcp-serverのバージョン0.1.0~0.1.7に存在するパス・トラバーサル脆弱性です。攻撃者は、認証なしでホストファイルシステム上の任意のファイルを読み書き、上書きできます。
はい、excel-mcp-serverのバージョン0.1.0から0.1.7を使用している場合は影響を受けます。ネットワーク上の攻撃者が認証なしでホストファイルシステムにアクセスできる可能性があります。
excel-mcp-serverをバージョン0.1.8にアップデートしてください。アップデートがすぐに利用できない場合は、ネットワークセグメンテーションやWAF/プロキシサーバーによる対策を検討してください。
現時点では、確認されていませんが、CVSSスコアがCRITICALであるため、早期に悪用される可能性があります。
githubリポジトリのissueを参照してください: [https://github.com/haris-musa/excel-mcp-server/issues/114](https://github.com/haris-musa/excel-mcp-server/issues/114)
requirements.txt ファイルをアップロードすると、影響の有無を即座にお知らせします。