Los investigadores de ciberseguridad han descubierto una vulnerabilidad crítica en los proyectos remotos de MCP de código abierto que podrían dar lugar a la ejecución de cualquier comandos del sistema operativo (OS).
La vulnerabilidad rastreada como CVE-2025-6514 tiene una puntuación CVSS de 9.6 de 10.0.
«La vulnerabilidad plantea un riesgo significativo para el usuario cuando un atacante inicia una conexión con un servidor MCP no confiable, que puede desencadenar la ejecución de comandos de sistema operativo arbitrario en la máquina que ejecuta el control remoto MCP.
MCP-Remote es una herramienta que surgió después de la liberación de antrópico de protocolo de contexto del modelo (MCP). Es un marco de código abierto que estandariza la forma en que las aplicaciones del Modelo de lenguaje a gran escala (LLM) integran y comparten datos con fuentes y servicios de datos externas.
En lugar de ejecutar localmente en la misma máquina que la aplicación LLM, actúa como un proxy local que permite a los clientes de MCP como Claude Desktops comunicarse con el servidor MCP remoto. El paquete NPM se ha descargado más de 437,000 veces hasta ahora.
La vulnerabilidad afecta las versiones remotas de MCP de 0.0.5 a 0.1.15. Dirigido en la versión 0.1.16, lanzado el 17 de junio de 2025. Cualquiera que use un control remoto MCP que use la versión afectada para conectarse a un servidor MCP no confiable está en riesgo.
«Si bien los estudios publicados anteriormente demuestran los riesgos de los clientes de MCP que se conectan con los servidores MCP maliciosos, esta es la primera vez que se logra la ejecución del código remoto completo en un escenario del mundo real de un sistema operativo cliente cuando se conecta a un servidor remoto de MCP que no es confiable», dijo Peles.
El inconveniente se refiere a cómo un servidor MCP malicioso ejecutado por un actor de amenaza puede integrar comandos cuando se maneja un control remoto MCP en la etapa de aprobación de comunicación inicial, ejecutado en el sistema operativo subyacente.
Este problema lleva a ejecutar cualquier comando OS en Windows con control completo de parámetros, pero ejecutar cualquier archivo ejecutable con un control de parámetros limitado en los sistemas MacOS y Linux.
Para mitigar el riesgo planteado por la falla, se recomienda a los usuarios que actualicen sus bibliotecas a la última versión y se conecten solo con los servidores MCP de confianza a través de HTTPS.
«Los servidores MCP remotos son una herramienta muy efectiva para expandir las capacidades de IA en un entorno administrado, promover la repetición de código rápido y garantizar una entrega más confiable de software, pero los usuarios de MCP deben tener cuidado de conectarse a servidores MCP confiables utilizando métodos de conexión seguros como HTTPS.
«De lo contrario, las vulnerabilidades como CVE-2025-6514 podrían secuestrar a los clientes de MCP en el ecosistema de MCP en constante crecimiento».
Esta divulgación se produce después de que la oligosecuridad detalló una vulnerabilidad crítica en la herramienta del inspector MCP (CVE-2025-49596, puntaje CVSS: 9.4).
A principios de este mes, se revelaron otras dos fallas de seguridad de alta resistencia en el servidor MCP del sistema de archivos humanos.
A continuación se muestra una lista de dos defectos para cada cimulado –
CVE-2025-53110 (Puntuación CVSS: 7.3)-Bypass de contención de directorio que permite acceso, lea o escribe fuera de los directorios autorizados utilizando prefijos de directorio autorizados en otros directorios (por ejemplo, «/privado/privado/tmp/aopterdir_sentitive_credentials») CVE-2025-53109 (CVE: 8.4). shimlinks) causados por un manejo de errores insuficiente que se puede usar para apuntar a sistemas de archivos utilizando archivos de sistemas de archivos desde directorios autorizados permitiendo a los atacantes leer o modificar archivos importantes (por ejemplo, p. Ej. Técnicas
Ambos inconvenientes afectan todas las versiones del servidor MCP del sistema de archivos antes de 0.6.3 y 2025.7.1, incluidas las correcciones relacionadas.
«Esta vulnerabilidad es una violación grave del modelo de seguridad del servidor MCP del sistema de archivos», dijo el investigador de seguridad Elad Beber sobre CVE-2025-53110. «Los atacantes pueden obtener acceso no autorizado al listar, leer o escribir en un directorio fuera del rango permitido, exponer potencialmente archivos confidenciales, como credenciales y configuración».
«Además, en las configuraciones donde el servidor se ejecuta como un usuario privilegiado, esta falla puede conducir a una escalada de privilegios, permitiendo a los atacantes manipular archivos críticos del sistema y proporcionar un mayor control sobre el sistema de host».
Source link
