 10 de junio de 2025Ravie Lakshmananvulnerabilidad / AI Seguridad Los investigadores de seguridad cibernética han descubierto una vulnerabilidad crítica en el proyecto remoto de MCP de código abierto que podría resultar en la ejecución de comandos de sistema operativo arbitrario (OS). La vulnerabilidad, rastreada como CVE-2025-6514, tiene una puntuación CVSS de 9.6 de 10.0. «La vulnerabilidad permite a los atacantes activar la ejecución arbitraria del comando del sistema operativo en la máquina que ejecuta MCP-Remote cuando inicia una conexión con un servidor MCP no confiable, lo que representa un riesgo significativo para los usuarios: un compromiso completo del sistema», o Peles, JFrog Vulnerability Investigation Leader. MCP-Remote es una herramienta que surgió después de la liberación de Anthrope del Protocolo de contexto del modelo (MCP), un marco de código abierto que estandariza la forma en que las aplicaciones del Modelo de lenguaje grande (LLM) integran y comparten datos con fuentes y servicios de datos externas. Actúa como un proxy local, lo que permite a los clientes de MCP como Claude Desktop comunicarse con servidores MCP remotos, en lugar de ejecutarlos localmente en la misma máquina que la aplicación LLM. El paquete NPM se ha descargado más de 437,000 veces hasta la fecha. La vulnerabilidad afecta las versiones remotas de MCP de 0.0.5 a 0.1.15. Se ha abordado en la versión 0.1.16 lanzado el 17 de junio de 2025. Cualquiera que use MCP-Remote que se conecta a un servidor MCP no confiable o inseguro que usa una versión afectada está en riesgo. «Si bien la investigación publicada anteriormente ha demostrado riesgos de los clientes de MCP que se conectan con los servidores MCP maliciosos, esta es la primera vez que se logra la ejecución de código remoto completo en un escenario del mundo real en el sistema operativo del cliente cuando se conecta a un servidor MCP remoto no confiable», dijo Peles. La deficiencia tiene que ver con cómo un servidor MCP malicioso operado por un actor de amenaza podría incorporar un comando durante la fase de establecimiento y autorización de comunicación inicial, que, cuando se procesa por MCP-Remote, hace que se ejecute en el sistema operativo subyacente. Mientras que el problema conduce a la ejecución arbitraria del comando del sistema operativo en Windows con control de parámetros completo, da como resultado la ejecución de ejecutables arbitrarios con control de parámetros limitado en los sistemas MACOS y Linux. Para mitigar el riesgo planteado por la falla, se aconseja a los usuarios que actualicen la biblioteca a la última versión y solo se conecten a servidores MCP de confianza a través de HTTPS. «Si bien los servidores MCP remotos son herramientas altamente efectivas para expandir las capacidades de IA en entornos administrados, facilitar la rápida iteración de código y ayudar a garantizar una entrega más confiable de software, los usuarios de MCP deben tener en cuenta solo conectarse a servidores MCP confiables utilizando métodos de conexión seguros como HTTPS», dijo Peles. «De lo contrario, es probable que vulnerabilidades como CVE-2025-6514 secuestren a los clientes de MCP en el ecosistema de MCP cada vez mayor». La divulgación se produce después de que Oligo Security detalló una vulnerabilidad crítica en la herramienta MCP Inspector (CVE-2025-49596, puntaje CVSS: 9.4) que podría allanar el camino para la ejecución de código remoto. A principios de este mes, otros dos defectos de seguridad de alta severidad se descubrieron en el servidor MCP del sistema de archivos de Anthrope, que, si se explotan con éxito, podrían permitir que los atacantes salgan de la caja de arena del servidor, manipulen cualquier archivo en el host y logren la ejecución del código. The two flaws, per Cymulate, are listed below – CVE-2025-53110 (CVSS score: 7.3) – A directory containment bypass that makes it possible to access, read, or write outside of the approved directory (eg, «/private/tmp/allowed_dir») by using the allowed directory prefix on other directories (eg, «/private/tmp/allow_dir_sensitive_credentials»), thereby opening the door data theft and possible privilege escalation CVE-2025-53109 (CVSS score: 8.4) – A symbolic link (aka symlink) bypass stemming from poor error handling that can be used to point to any file on the file system from within the allowed directory, allowing an attacker to read or alter critical files (por ejemplo, «/etc/sudoers») o soltar código malicioso, lo que resulta en la ejecución del código mediante el uso de agentes de lanzamiento, trabajos cron u otras técnicas de persistencia ambas deficiencias afectan todas las versiones del servidor MCP del sistema de archivos antes de 0.6.3 y 2025.7.1, que incluyen las soluciones relevantes. «Esta vulnerabilidad es una violación grave del modelo de seguridad de los servidores MCP del sistema de archivos», dijo el investigador de seguridad Elad Beber sobre CVE-2025-53110. «Los atacantes pueden obtener acceso no autorizado al listar, leer o escribir en directorios fuera del alcance permitido, lo que puede exponer archivos confidenciales como credenciales o configuraciones». «Peor aún, en las configuraciones donde el servidor se ejecuta como un usuario privilegiado, este defecto podría conducir a una escalada de privilegios, permitiendo a los atacantes manipular archivos críticos del sistema y obtener un control más profundo sobre el sistema de host». ¿Encontró este artículo interesante? Síganos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.