Los investigadores de seguridad cibernética han descubierto una vulnerabilidad crítica en el plan remoto de MCP de código franco que podría resultar en la ejecución de comandos de sistema eficaz infundado (OS).
La vulnerabilidad, rastreada como CVE-2025-6514lleva una puntuación CVSS de 9.6 de 10.0.
«La vulnerabilidad permite a los atacantes activar la ejecución arbitraria del comando del sistema eficaz en la máquina que ejecuta MCP-Remote cuando inicia una conexión con un servidor MCP no confiable, lo que representa un aventura significativo para los usuarios: un compromiso completo del sistema», o Peles, JFrog Vulnerability Investigation Leader.
MCP-Remote es una útil que surgió posteriormente de la fuga de Anthrope del Protocolo de contexto del maniquí (MCP), un ámbito de código franco que estandariza la forma en que las aplicaciones del Maniquí de estilo noble (LLM) integran y comparten datos con fuentes y servicios de datos externas.
Actúa como un proxy específico, lo que permite a los clientes de MCP como Claude Desktop comunicarse con servidores MCP remotos, en puesto de ejecutarlos localmente en la misma máquina que la aplicación LLM. El paquete NPM se ha descargado más de 437,000 veces hasta la época.
La vulnerabilidad afecta las versiones remotas de MCP de 0.0.5 a 0.1.15. Se ha abordado en la lectura 0.1.16 audaz el 17 de junio de 2025. Cualquiera que use MCP-Remote que se conecta a un servidor MCP no confiable o inseguro que usa una lectura afectada está en aventura.
«Si proporcionadamente la investigación publicada anteriormente ha demostrado riesgos de los clientes de MCP que se conectan con los servidores MCP maliciosos, esta es la primera vez que se logra la ejecución de código remoto completo en un marco del mundo vivo en el sistema eficaz del cliente cuando se conecta a un servidor MCP remoto no confiable», dijo Peles.
La deficiencia tiene que ver con cómo un servidor MCP desconfiado operado por un actor de amenaza podría incorporar un comando durante la período de establecimiento y autorización de comunicación original, que, cuando se procesa por MCP-Remote, hace que se ejecute en el sistema eficaz subyacente.
Mientras que el problema conduce a la ejecución arbitraria del comando del sistema eficaz en Windows con control de parámetros completo, da como resultado la ejecución de ejecutables arbitrarios con control de parámetros prohibido en los sistemas MACOS y Linux.
Para mitigar el aventura planteado por la descompostura, se aconseja a los usuarios que actualicen la biblioteca a la última lectura y solo se conecten a servidores MCP de confianza a través de HTTPS.
«Si proporcionadamente los servidores MCP remotos son herramientas en extremo efectivas para expandir las capacidades de IA en entornos administrados, proveer la rápida iteración de código y ayudar a certificar una entrega más confiable de software, los usuarios de MCP deben tener en cuenta solo conectarse a servidores MCP confiables utilizando métodos de conexión seguros como HTTPS», dijo Peles.
«De lo contrario, es probable que vulnerabilidades como CVE-2025-6514 secuestren a los clientes de MCP en el ecosistema de MCP cada vez maduro».
La divulgación se produce posteriormente de que Oligo Security detalló una vulnerabilidad crítica en la útil MCP Inspector (CVE-2025-49596, puntaje CVSS: 9.4) que podría allanar el camino para la ejecución de código remoto.
A principios de este mes, otros dos defectos de seguridad de suscripción severidad se descubrieron en el servidor MCP del sistema de archivos de Anthrope, que, si se explotan con éxito, podrían permitir que los atacantes salgan de la caja de arena del servidor, manipulen cualquier archivo en el host y logren la ejecución del código.
Los dos defectos, por cimulado, se enumeran a continuación –
- CVE-2025-53110 (Puntuación CVSS: 7.3) – Un bypass de contención de directorio que permite aceptar, descifrar o escribir fuera del directorio apto (por ejemplo, «/privado/tmp/permitido_dir») utilizando el prefijo de directorio permitido en otros directorios (por ejemplo, «/privado/tmp/teting_dir_sensitive_credentinentials»), luego comprensión los datos de la puerta y posibles privilegios de privilegio y posibles privilegios de privilegio y posibles privilegios de privilegio «
- CVE-2025-53109 (Puntuación CVSS: 8.4) – Un enlace simbólico (todavía conocido como enlace simbólico) derivado de un manejo de error deficiente que puede estar de moda para apuntar a cualquier archivo en el sistema de archivos desde el directorio permitido, permitiendo que un atacante lea o altere los archivos críticos («/etc/sudoers» o suelte el código desconfiado, lo que resulta en la ejecución del código al hacer un uso de agentes de impulso, cronas o otros trabajos de persistencia o otros trabajos de persistencia o otros trabajos de persistencia o otra persistencia
Ambas deficiencias afectan todas las versiones del servidor MCP del sistema de archivos antiguamente de 0.6.3 y 2025.7.1, que incluyen las correcciones relevantes.
«Esta vulnerabilidad es una violación importante del maniquí de seguridad de los servidores MCP del sistema de archivos», dijo el investigador de seguridad Elad Libar sobre CVE-2025-53110. «Los atacantes pueden obtener camino no facultado al registrar, descifrar o escribir en directorios fuera del importancia permitido, lo que puede exponer archivos confidenciales como credenciales o configuraciones».
«Peor aún, en las configuraciones donde el servidor se ejecuta como un adjudicatario privilegiado, este defecto podría conducir a una subida de privilegios, permitiendo a los atacantes manipular archivos críticos del sistema y obtener un control más profundo sobre el sistema de host».
