Los investigadores de ciberseguridad han descubierto una debilidad crítica de «diseño» en la arquitectura del Protocolo de contexto modelo (MCP). Esto podría allanar el camino para la ejecución remota de código y tener efectos en cascada en la cadena de suministro de inteligencia artificial (IA).
«Esta falla permite la ejecución de comandos arbitrarios (RCE) en sistemas que ejecutan implementaciones MCP vulnerables, brindando a los atacantes acceso directo a datos confidenciales del usuario, bases de datos internas, claves API e historial de chat», dijeron los investigadores de OX Security Moshe Siman Tov Bustan, Mustafa Naamnih, Nir Zadok y Roni Bar en un análisis publicado la semana pasada.
La firma de ciberseguridad dijo que la vulnerabilidad sistémica está integrada en el kit de desarrollo de software (SDK) MCP oficial de Anthropic en todos los lenguajes compatibles, incluidos Python, TypeScript, Java y Rust. En total, más de 7.000 servidores y paquetes de software de acceso público se vieron afectados, con un total de más de 150 millones de descargas.
Lo que está en juego son los valores predeterminados inseguros en la forma en que opera la configuración MCP en la interfaz de transporte STDIO (entrada/salida estándar), lo que resultó en el descubrimiento de 10 vulnerabilidades en proyectos populares, incluidos LiteLLM, LangChain, LangFlow, Flowise, LettaAI y LangBot.
CVE-2025-65720 (Investigador de GPT) CVE-2026-30623 (LiteLLM) – CVE-2026-30624 (Agent Zero) parcheado CVE-2026-30618 (Fay Framework) CVE-2026-33224 (Bisheng) – CVE-2026-30617 parcheado (Langchain-Chatchat) CVE-2026-33224 (Jaaz) CVE-2026-30625 (Upsonic) CVE-2026-30615 (Windsurf) CVE-2026-26015 (DocsGPT) – CVE-2026-40933 parcheado (Flowise)
Estas vulnerabilidades se dividen en cuatro categorías amplias y permiten efectivamente la ejecución remota de comandos en el servidor.
Inyección de comandos autenticados y no autenticados a través de MCP STDIO Inyección de comandos no autenticados a través de configuración STDIO directa con derivación reforzada Inyección de comandos no autenticados a través de la configuración de MCP Edición con inyección rápida de clic cero Inyección de comandos no autenticados a través de MCP Marketplace a través de solicitudes de red, activando la configuración STDIO oculta
«El protocolo de contexto modelo de Anthropic permite la ejecución directa de configuración a comando a través de la interfaz STDIO en todas las implementaciones, independientemente del lenguaje de programación», explicaron los investigadores.
«Este código fue diseñado para iniciar un servidor STDIO local y devolver un identificador al STDIO a LLM. Sin embargo, en realidad permite que cualquiera ejecute comandos arbitrarios del sistema operativo. Si el comando logra crear el servidor STDIO, se devuelve un identificador, pero si se da otro comando, se devuelve un error después de ejecutar el comando».
Curiosamente, las vulnerabilidades basadas en el mismo problema central se informaron por separado durante el año pasado. Estos incluyen CVE-2025-49596 (MCP Inspector), LibreChat (CVE-2026-22252), WeKnora (CVE-2026-22688), @akoskm/create-mcp-server-stdio (CVE-2025-54994) y Cursor (CVE-2025-54136) Contiene.
Sin embargo, Anthropic rechazó los cambios en la arquitectura del protocolo y dijo que este comportamiento era «esperable». Aunque algunos proveedores han publicado parches, la implementación de referencia MCP de Anthropic no soluciona esta deficiencia, lo que deja a los desarrolladores con el riesgo de ejecutar el código.
Este hallazgo resalta cómo la integración impulsada por la IA puede expandir involuntariamente la superficie de ataque. Para combatir esta amenaza, recomendamos bloquear el acceso de IP pública a servicios confidenciales, monitorear llamadas a herramientas MCP, ejecutar servicios habilitados para MCP en un espacio aislado, tratar la entrada de configuración de MCP externa como no confiable e instalar servidores MCP solo de fuentes verificadas.
«Lo que hizo que esto fuera un evento de la cadena de suministro en lugar de un único CVE es que una decisión arquitectónica tomada una vez se propagó silenciosamente a cada idioma, cada biblioteca posterior y cada proyecto que confiaba en que los protocolos eran tal como aparecían», dijo OX Security. «Transferir la responsabilidad al ejecutor no transfiere el riesgo; sólo oscurece quién creó el riesgo».
Source link
