Los investigadores de seguridad cibernética han descubierto una vulnerabilidad crítica en el tesina remoto de MCP de código libre que podría resultar en la ejecución de comandos de sistema activo infundado (OS).
La vulnerabilidad, rastreada como CVE-2025-6514lleva una puntuación CVSS de 9.6 de 10.0.
“La vulnerabilidad permite a los atacantes activar la ejecución arbitraria del comando del sistema activo en la máquina que ejecuta MCP-Remote cuando inicia una conexión con un servidor MCP no confiable, lo que representa un aventura significativo para los usuarios: un compromiso completo del sistema”, o Peles, JFrog Vulnerability Investigation Leader.
MCP-Remote es una aparejo que surgió luego de la exención de Anthrope del Protocolo de contexto del maniquí (MCP), un entorno de código libre que estandariza la forma en que las aplicaciones del Maniquí de idioma magnate (LLM) integran y comparten datos con fuentes y servicios de datos externas.
Actúa como un proxy nave, lo que permite a los clientes de MCP como Claude Desktop comunicarse con servidores MCP remotos, en puesto de ejecutarlos localmente en la misma máquina que la aplicación LLM. El paquete NPM se ha descargado más de 437,000 veces hasta la vencimiento.
La vulnerabilidad afecta las versiones remotas de MCP de 0.0.5 a 0.1.15. Se ha abordado en la interpretación 0.1.16 arrojado el 17 de junio de 2025. Cualquiera que use MCP-Remote que se conecta a un servidor MCP no confiable o inseguro que usa una interpretación afectada está en aventura.
“Si proporcionadamente la investigación publicada anteriormente ha demostrado riesgos de los clientes de MCP que se conectan con los servidores MCP maliciosos, esta es la primera vez que se logra la ejecución de código remoto completo en un atmósfera del mundo vivo en el sistema activo del cliente cuando se conecta a un servidor MCP remoto no confiable”, dijo Peles.
La deficiencia tiene que ver con cómo un servidor MCP sagaz operado por un actor de amenaza podría incorporar un comando durante la grado de establecimiento y autorización de comunicación auténtico, que, cuando se procesa por MCP-Remote, hace que se ejecute en el sistema activo subyacente.
Mientras que el problema conduce a la ejecución arbitraria del comando del sistema activo en Windows con control de parámetros completo, da como resultado la ejecución de ejecutables arbitrarios con control de parámetros constreñido en los sistemas MACOS y Linux.
Para mitigar el aventura planteado por la equivocación, se aconseja a los usuarios que actualicen la biblioteca a la última interpretación y solo se conecten a servidores MCP de confianza a través de HTTPS.
“Si proporcionadamente los servidores MCP remotos son herramientas mucho efectivas para expandir las capacidades de IA en entornos administrados, proveer la rápida iteración de código y ayudar a certificar una entrega más confiable de software, los usuarios de MCP deben tener en cuenta solo conectarse a servidores MCP confiables utilizando métodos de conexión seguros como HTTPS”, dijo Peles.
“De lo contrario, es probable que vulnerabilidades como CVE-2025-6514 secuestren a los clientes de MCP en el ecosistema de MCP cada vez viejo”.
La divulgación se produce luego de que Oligo Security detalló una vulnerabilidad crítica en la aparejo MCP Inspector (CVE-2025-49596, puntaje CVSS: 9.4) que podría allanar el camino para la ejecución de código remoto.
A principios de este mes, otros dos defectos de seguridad de reincorporación severidad se descubrieron en el servidor MCP del sistema de archivos de Anthrope, que, si se explotan con éxito, podrían permitir que los atacantes salgan de la caja de arena del servidor, manipulen cualquier archivo en el host y logren la ejecución del código.
Los dos defectos, por cimulado, se enumeran a continuación –
- CVE-2025-53110 (Puntuación CVSS: 7.3) – Un bypass de contención de directorio que permite entrar, descifrar o escribir fuera del directorio aceptado (por ejemplo, “/privado/tmp/permitido_dir”) utilizando el prefijo de directorio permitido en otros directorios (por ejemplo, “/privado/tmp/teting_dir_sensitive_credentinentials”), luego comprensión los datos de la puerta y posibles privilegios de privilegio y posibles privilegios de privilegio y posibles privilegios de privilegio “
- CVE-2025-53109 (Puntuación CVSS: 8.4) – Un enlace simbólico (asimismo conocido como enlace simbólico) derivado de un manejo de error deficiente que puede estilarse para apuntar a cualquier archivo en el sistema de archivos desde el directorio permitido, permitiendo que un atacante lea o altere los archivos críticos (“/etc/sudoers” o suelte el código sagaz, lo que resulta en la ejecución del código al hacer un uso de agentes de tirada, cronas o otros trabajos de persistencia o otros trabajos de persistencia o otros trabajos de persistencia o otra persistencia
Ambas deficiencias afectan todas las versiones del servidor MCP del sistema de archivos ayer de 0.6.3 y 2025.7.1, que incluyen las correcciones relevantes.
“Esta vulnerabilidad es una violación moribundo del maniquí de seguridad de los servidores MCP del sistema de archivos”, dijo el investigador de seguridad Elad Tomar sobre CVE-2025-53110. “Los atacantes pueden obtener acercamiento no facultado al enumerar, descifrar o escribir en directorios fuera del inteligencia permitido, lo que puede exponer archivos confidenciales como credenciales o configuraciones”.
“Peor aún, en las configuraciones donde el servidor se ejecuta como un afortunado privilegiado, este defecto podría conducir a una ascensión de privilegios, permitiendo a los atacantes manipular archivos críticos del sistema y obtener un control más profundo sobre el sistema de host”.
