Cybersecurity -onderzoekers hebben een kritische kwetsbaarheid van de beveiliging ontdekt in kunstmatige intelligentie (AI) bedrijf Anthropic’s Model Context Protocol (MCP) Inspector -project dat zou kunnen leiden tot externe code -uitvoering (RCE) en een aanvaller toestaan volledige toegang tot de hosts te krijgen.
De kwetsbaarheid, gevolgd als CVE-2025-49596, draagt een CVSS-score van 9,4 van een maximum van 10,0.
“Dit is een van de eerste kritische rces in het MCP-ecosysteem van Anthropic, die een nieuwe klasse van browsergebaseerde aanvallen tegen AI-ontwikkelaarstools blootlegt,” zei Avi Lumelsky van Oligo Security in een rapport dat vorige week werd gepubliceerd.
“Met code -uitvoering op de machine van een ontwikkelaar kunnen aanvallers gegevens stelen, backdoors installeren en zijdelings over netwerken bewegen – het benadrukken van ernstige risico’s voor AI -teams, open -source projecten en enterprise -adopters die op MCP vertrouwen.”
MCP, geïntroduceerd door Anthropic in november 2024, is een open protocol dat de manier waarop grote taalmodel (LLM) -toepassingen standaardiseert die gegevens integreren en delen met externe gegevensbronnen en -hulpmiddelen.
De MCP -inspecteur is een ontwikkelaarstool voor het testen en debuggen van MCP -servers, die specifieke mogelijkheden blootleggen via het protocol en een AI -systeem toegang krijgen tot en interactie heeft met informatie die verder gaat dan de trainingsgegevens.
Het bevat twee componenten, een client die een interactieve interface biedt voor testen en debuggen, en een proxyserver die de web -gebruikersinterface overbrugt naar verschillende MCP -servers.
Dat gezegd hebbende, een belangrijke beveiligingsoverweging om in gedachten te houden, is dat de server niet moet worden blootgesteld aan een niet -vertrouwd netwerk, omdat deze toestemming heeft om lokale processen te voortbrengen en verbinding kan maken met elke opgegeven MCP -server.
Dit aspect, in combinatie met het feit dat de standaardinstellingen die ontwikkelaars gebruiken om een lokale versie van de tool te laten draaien, wordt geleverd met “belangrijke” beveiligingsrisico’s, zoals ontbrekende authenticatie en codering, opent een nieuw aanvalspad, per Oligo.
“Deze verkeerde configuratie creëert een aanzienlijk aanvalsoppervlak, omdat iedereen met toegang tot het lokale netwerk of openbaar internet mogelijk kan communiceren met en deze servers kan exploiteren,” zei Lumelsky.
De aanval speelt zich af door een bekende beveiligingsfout te keren die moderne webbrowsers treft, genaamd 0.0.0.0 Day, met een cross-site aanvraagvervalsing (CSRF) kwetsbaarheid bij inspecteur (CVE-2025-49596) om willekeurige code op de gastheer te behouden bij het bezoeken van een kwaadwillende website.
“Versies van MCP-inspecteur onder 0,14.1 zijn kwetsbaar voor externe code-uitvoering vanwege een gebrek aan authenticatie tussen de inspecteurclient en proxy, waardoor niet-geauthenticeerde verzoeken MCP-opdrachten via STDIO kunnen lanceren,” zeiden de ontwikkelaars van MCP-inspecteur in een advies voor CVE-2015-49596.
0.0.0.0 Day is een 19-jarige kwetsbaarheid in moderne webbrowsers waarmee kwaadaardige websites lokale netwerken kunnen overtreden. Het maakt gebruik van het onvermogen van de browsers om het IP -adres 0.0.0.0 veilig te verwerken, wat leidt tot code -uitvoering.
“Aanvallers kunnen deze fout exploiteren door een kwaadaardige website te maken die verzoeken naar localhost -services op een MCP -server stuurt, waardoor de mogelijkheid wordt verkregen om willekeurige opdrachten uit te voeren op de machine van een ontwikkelaar,” legde Lumelsky uit.
“Het feit dat de standaardconfiguraties MCP -servers aan dit soort aanvallen blootstellen, betekent dat veel ontwikkelaars per ongeluk een achterdeur naar hun machine openen.”
In het bijzonder maakt de proof-of-concept (POC) gebruik van het eindpunt met server-sentgebeurtenissen (SSE) om een kwaadaardig verzoek van een aanvallergestuurde website te verzenden om RCE te bereiken op de machine die de tool uitvoert, zelfs als het luistert op localhost (127.0.0.1).
Dit werkt omdat het IP -adres 0.0.0.0 het besturingssysteem vertelt om te luisteren op alle IP -adressen die aan de machine zijn toegewezen, inclusief de lokale loopback -interface (dwz localhost).
In een hypothetisch aanvalsscenario zou een aanvaller een nep -webpagina kunnen opzetten en een ontwikkelaar kunnen misleiden om deze te bezoeken, op welk punt de kwaadwillende JavaScript die op de pagina is ingebed, zou een verzoek naar 0.0.0.0.0:0:6277 sturen (de standaardpoort over welke proxy runs), de instructie van de MCP Inspector -proxy -proxy -proxy -proxy -proxy -proxy -proxy -proxy -proxy -proxy -proxy -proxy -proxy -opdrachten van de proxy -arbitrarische arbitrarische opdrachten.
De aanval kan ook gebruik maken van DNS -rebindingstechnieken om een gesmeed DNS -record te maken dat wijst op 0.0.0.0:6277 of 127.0.0.0.1:6277 om veiligheidscontroles te omzeilen en RCE -privileges te verkrijgen.
Na verantwoorde openbaarmaking in april 2025 werd de kwetsbaarheid op 13 juni door de projectonderhoudsbeheerders aangepakt met de release van versie 0.14.1. De oplossingen voegen een sessietoken toe aan de proxyserver en nemen oorsprongsvalidatie op om de aanvalsvector volledig aan te sluiten.
“Localhost -diensten kunnen veilig lijken, maar worden vaak blootgesteld aan het openbare internet vanwege netwerkrouteringsmogelijkheden in browsers en MCP -klanten,” zei Oligo.
“De mitigatie voegt autorisatie toe die ontbrak in de standaardinstelling voorafgaand aan de oplossing, evenals het verifiëren van de host- en origin -headers in HTTP, ervoor zorgen dat de client echt bezoekt van een bekend, vertrouwd domein. Nu blokkeert de server DN’s Rebinding en CSRF -aanvallen.”
