Cybersecurity-onderzoekers hebben een kritieke kwetsbaarheid ontdekt in het open-source MCP-Remote-project dat zou kunnen leiden tot de uitvoering van opdrachten willekeurige besturingssystemen (OS).
De kwetsbaarheid, gevolgd als CVE-2025-6514draagt een CVSS -score van 9,6 van de 10.0.
“De kwetsbaarheid stelt aanvallers in staat om willekeurige OS-opdrachtuitvoering te activeren op de machine met MCP-remote wanneer het een verbinding met een niet-vertrouwde MCP-server initieert, waarbij een aanzienlijk risico is voor gebruikers-een volledig systeemcompromis”, zei Peles, JFRog kwetsbaarheidsonderzoeksteamleider.
MCP-REMOTE is een hulpmiddel dat voortkwam na de release van Anthropic’s Model Context Protocol (MCP), een open-source framework dat de manier waarop Garg Language Model (LLM) -toepassingen standaardiseert integreren en delen met externe gegevensbronnen en -services.
Het fungeert als een lokale proxy, waardoor MCP -clients zoals Claude Desktop kunnen communiceren met externe MCP -servers, in tegenstelling tot het lokaal uitvoeren van ze op dezelfde machine als de LLM -toepassing. Het NPM -pakket is tot nu toe meer dan 437.000 keer gedownload.
De kwetsbaarheid beïnvloedt MCP-Remote-versies van 0,0,5 tot 0,1,15. Het is behandeld in versie 0.1.16 uitgebracht op 17 juni 2025. Iedereen die MCP-Remote gebruikt die verbinding maakt met een niet-vertrouwde of onzekere MCP-server met een getroffen versie loopt in gevaar.
“Hoewel eerder gepubliceerd onderzoek risico’s heeft aangetoond van MCP-clients die verbinding maken met kwaadaardige MCP-servers, is dit de eerste keer dat volledige externe code-uitvoering wordt bereikt in een real-world scenario over het clientbesturingssysteem bij het verbinding maken met een niet-vertrouwde MCP-server op afstand,” zei Peles.
De tekortkoming heeft te maken met hoe een kwaadwillende MCP-server die door een dreigingsacteur wordt beheerd, een opdracht zou kunnen insluiten tijdens de initiële communicatie-instelling en autorisatiefase, die, wanneer verwerkt door MCP-remote, ervoor zorgt dat deze wordt uitgevoerd op het onderliggende besturingssysteem.
Hoewel het probleem leidt tot willekeurige OS -opdrachtuitvoering op Windows met volledige parameterregeling, resulteert dit in de uitvoering van willekeurige uitvoerbare bestanden met beperkte parameterregeling op macOS- en Linux -systemen.
Om het risico van de fout te verminderen, wordt gebruikers geadviseerd om de bibliotheek bij te werken naar de nieuwste versie en alleen verbinding te maken met vertrouwde MCP -servers via HTTPS.
“Hoewel externe MCP -servers zeer effectieve tools zijn voor het uitbreiden van AI -mogelijkheden in beheerde omgevingen, het vergemakkelijken van een snelle iteratie van code en het helpen garanderen van een betrouwbaardere levering van software, hoeven MCP -gebruikers zich alleen maar te verbinden met het verbinden met vertrouwde MCP -servers met behulp van veilige verbindingsmethoden zoals HTTPS,” zei Peles.
“Anders zullen kwetsbaarheden zoals CVE-2025-6514 MCP-klanten waarschijnlijk kapen in het steeds groter wordende MCP-ecosysteem.”
De openbaarmaking komt nadat Oligo Security een kritieke kwetsbaarheid heeft gedetailleerd in de MCP Inspector Tool (CVE-2025-49596, CVSS-score: 9.4) die de weg zou kunnen effenen voor externe code-uitvoering.
Eerder deze maand werden twee andere hoogwaardige beveiligingsdefecten ontdekt in het FileSystem MCP-server van Anthropic, die, indien met succes benut, aanvallers kon laten breken uit de sandbox van de server, elk bestand op de host kon manipuleren en code-uitvoering kon bereiken.
De twee fouten, per cymulate, worden hieronder vermeld –
- CVE-2025-53110 (CVSS -score: 7.3) – Een bypass van de map die het mogelijk maakt om toegang te krijgen tot, te lezen, te lezen of te schrijven buiten de goedgekeurde directory (bijv. PRIVATE/TMP/TOEGANG/TOEMAND_DIR “) Met behulp van het toegestane Directory -voorvoegsel op andere gids (bijv. ‘/TMP/TOLMP/TOLE_DIR_SENSECTESSEN’), daardoor de deurgegevens.
- CVE-2025-53109 (CVSS -score: 8.4) – Een symbolische link (aka Symlink) bypass die voortkomt uit slechte foutafhandeling die kan worden gebruikt om naar elk bestand in het bestandssysteem te wijzen vanuit de toegestane directory, waardoor een aanvaller kritieke bestanden kan lezen of wijzigen (bijv. “/Etc/sudoers”) of malicicious code, code -uitvoering door gebruik te maken van lanceringsonderzoek, CRON -banen, of andere banen, of ander
Beide tekortkomingen hebben invloed op alle FileSystem MCP -serverversies vóór 0.6.3 en 2025.7.1, waaronder de relevante fixes.
“Deze kwetsbaarheid is een serieuze inbreuk op het beveiligingsmodel van het FileSystem MCP-servers,” zei beveiligingsonderzoeker Elad Beber over CVE-2025-53110. “Aanvallers kunnen ongeautoriseerde toegang krijgen door te vermelden, lezen of schrijven naar mappen buiten de toegestane reikwijdte, waardoor mogelijk gevoelige bestanden zoals referenties of configuraties mogelijk worden blootgelegd.”
“Erger nog, in setups waar de server als een bevoorrechte gebruiker wordt uitgevoerd, kan deze fout leiden tot escalatie van voorrechten, waardoor aanvallers kritieke systeembestanden kunnen manipuleren en diepere controle over het hostsysteem kunnen krijgen.”
