Критическая уязвимость MCP-Remote позволяет удаленное выполнение команд ОС

ГлавнаяНовости* Исследователи обнаружили критическую уязвимость в инструменте mcp-remote, позволяющую злоумышленникам выполнять системные команды.

• Уязвимость, помеченная как CVE-2025-6514, получила высокий уровень серьезности CVSS с оценкой 9.6 из 10.
• Злоумышленники могут скомпрометировать компьютеры, работающие на уязвимых версиях mcp-remote, при подключении к небезопасным серверам Model Context Protocol (MCP).
• Проблема затрагивает версии mcp-remote с 0.0.5 по 0.1.15 и была исправлена в версии 0.1.16, выпущенной 17 июня 2025 года.
• Эксперты призывают пользователей обновить затронутое программное обеспечение и подключаться только к доверенным серверам MCP через защищенные (HTTPS) каналы. Эксперты в области кибербезопасности выявили серьезную уязвимость в проекте с открытым исходным кодом mcp-remote, которая может позволить злоумышленникам выполнять команды операционной системы на затронутых системах. Этот дефект был зафиксирован 10 июля 2025 года и затрагивает всех, кто использует mcp-remote для подключения к серверам Model Context Protocol (MCP). Уязвимость ставит пользователей под угрозу полного захвата системы, если они подключаются к злонамеренному удаленному серверу MCP.

• Реклама - Уязвимость безопасности, известная как CVE-2025-6514, получила критический балл CVSS 9.6 из 10. По словам Ор Пелеса, руководителя команды исследований уязвимостей JFrog, "Уязвимость позволяет злоумышленникам инициировать произвольное выполнение команд ОС на машине, работающей под управлением mcp-remote, когда она устанавливает соединение с недоверенным сервером MCP, что представляет собой значительный риск для пользователей – полное компрометирование системы."

mcp-remote — это локальный прокси, который помогает приложениям больших языковых моделей (LLM), таким как Claude Desktop, взаимодействовать с удаленными серверами MCP вместо запуска их локально. Пакет npm был загружен более 437 000 раз. Уязвимость, теперь исправленная в версии 0.1.16, затрагивает все предыдущие версии с 0.0.5. Пользователи, которые подключают mcp-remote к ненадежным или небезопасным серверам MCP, находятся в наибольшей опасности.

Уязвимость позволяет злонамеренному серверу встроить команду во время начального рукопожатия. Когда mcp-remote обрабатывает это, он выполняет команду на основной системе. В Windows злоумышленники получают полный контроль над параметрами команды. В macOS и Linux они могут запускать программы, но с меньшими возможностями. Команды безопасности рекомендуют обновиться до последней версии и подключаться только к доверенным серверам через HTTPS.

Ранее исследования предупреждали о рисках, когда клиенты MCP подключаются к опасным серверам, но это первый случай, когда удаленное выполнение кода на клиенте было подтверждено в реальном использовании. “Хотя удаленные серверы MCP являются очень эффективными инструментами для расширения возможностей ИИ в управляемых средах... пользователи MCP должны быть внимательны и подключаться только к доверенным серверам MCP, используя безопасные методы подключения, такие как HTTPS,” заявил Пелес.

В последние годы также стали известны другие уязвимости в экосистеме MCP. Например, недостаток в MCP Inspector (CVE-2025-49596) также может позволить удаленное выполнение кода. Две другие уязвимости высокой степени серьезности были обнаружены в файловом сервере MCP Anthropic:

• CVE-2025-53110 (CVSS 7.3): Позволяет злоумышленникам получать доступ, читать или изменять данные вне разрешенных папок, что создает риск кражи данных и получения привилегий.
• CVE-2025-53109 (CVSS 8.4): Позволяет злоумышленникам использовать символические ссылки для доступа к конфиденциальным файлам или размещения вредоносного кода для компрометации системы.

Эти уязвимости серверов затрагивают все версии до 0.6.3 и 2025.7.1. Специалисты по безопасности предупреждают, что особенно когда эти серверы работают с высокими системными привилегиями, риск более глубокого компрометации системы возрастает.

• Реклама - #### Предыдущие статьи:

• Tesla расширит сервис Robotaxi в Остине и районе залива в эти выходные
• Базельский комитет по банковскому надзору обнаружил, что токенизированные государственные облигации предлагают более узкие рыночные спреды
• Угроза DeFi через заднюю дверь ставит под угрозу $10M, так как Texture и Kinto подвергаются атакам
• Палата представителей США проведет слушания по налогу на криптовалюту, поскольку ключевые законопроекты по криптовалюте продвигаются вперед
• Поддельные крипто-стартапы используют социальные сети для распространения вредоносного ПО, крадущего кошельки

• Реклама -