Los investigadores de seguridad cibernética han descubierto una vulnerabilidad crítica en el proyecto remoto de MCP de código abierto que podría resultar en la ejecución de comandos de sistema operativo arbitrario (OS).
La vulnerabilidad, rastreada como CVE-2025-6514lleva una puntuación CVSS de 9.6 de 10.0.
«La vulnerabilidad permite a los atacantes activar la ejecución arbitraria del comando del sistema operativo en la máquina que ejecuta MCP-Remote cuando inicia una conexión con un servidor MCP no confiable, lo que representa un riesgo significativo para los usuarios: un compromiso completo del sistema», o Peles, JFrog Vulnerability Investigation Leader.
MCP-Remote es una herramienta que surgió después de la liberación de Anthrope del Protocolo de contexto del modelo (MCP), un marco de código abierto que estandariza la forma en que las aplicaciones del Modelo de lenguaje grande (LLM) integran y comparten datos con fuentes y servicios de datos externas.
Actúa como un proxy local, lo que permite a los clientes de MCP como Claude Desktop comunicarse con servidores MCP remotos, en lugar de ejecutarlos localmente en la misma máquina que la aplicación LLM. El paquete NPM se ha descargado más de 437,000 veces hasta la fecha.
La vulnerabilidad afecta las versiones remotas de MCP de 0.0.5 a 0.1.15. Se ha abordado en la versión 0.1.16 lanzado el 17 de junio de 2025. Cualquiera que use MCP-Remote que se conecta a un servidor MCP no confiable o inseguro que usa una versión afectada está en riesgo.
«Si bien la investigación publicada anteriormente ha demostrado riesgos de los clientes de MCP que se conectan con los servidores MCP maliciosos, esta es la primera vez que se logra la ejecución de código remoto completo en un escenario del mundo real en el sistema operativo del cliente cuando se conecta a un servidor MCP remoto no confiable», dijo Peles.
La deficiencia tiene que ver con cómo un servidor MCP malicioso operado por un actor de amenaza podría incorporar un comando durante la fase de establecimiento y autorización de comunicación inicial, que, cuando se procesa por MCP-Remote, hace que se ejecute en el sistema operativo subyacente.
Mientras que el problema conduce a la ejecución arbitraria del comando del sistema operativo en Windows con control de parámetros completo, da como resultado la ejecución de ejecutables arbitrarios con control de parámetros limitado en los sistemas MACOS y Linux.
Para mitigar el riesgo planteado por la falla, se aconseja a los usuarios que actualicen la biblioteca a la última versión y solo se conecten a servidores MCP de confianza a través de HTTPS.
«Si bien los servidores MCP remotos son herramientas altamente efectivas para expandir las capacidades de IA en entornos administrados, facilitar la rápida iteración de código y ayudar a garantizar una entrega más confiable de software, los usuarios de MCP deben tener en cuenta solo conectarse a servidores MCP confiables utilizando métodos de conexión seguros como HTTPS», dijo Peles.
«De lo contrario, es probable que vulnerabilidades como CVE-2025-6514 secuestren a los clientes de MCP en el ecosistema de MCP cada vez mayor».
La divulgación se produce después de que Oligo Security detalló una vulnerabilidad crítica en la herramienta MCP Inspector (CVE-2025-49596, puntaje CVSS: 9.4) que podría allanar el camino para la ejecución de código remoto.
A principios de este mes, otros dos defectos de seguridad de alta severidad se descubrieron en el servidor MCP del sistema de archivos de Anthrope, que, si se explotan con éxito, podrían permitir que los atacantes salgan de la caja de arena del servidor, manipulen cualquier archivo en el host y logren la ejecución del código.
Los dos defectos, por cimulado, se enumeran a continuación –
- CVE-2025-53110 (Puntuación CVSS: 7.3) – Un bypass de contención de directorio que permite acceder, leer o escribir fuera del directorio aprobado (por ejemplo, «/privado/tmp/permitido_dir») utilizando el prefijo de directorio permitido en otros directorios (por ejemplo, «/privado/tmp/teting_dir_sensitive_credentinentials»), luego apertura los datos de la puerta y posibles privilegios de privilegio y posibles privilegios de privilegio y posibles privilegios de privilegio «
- CVE-2025-53109 (Puntuación CVSS: 8.4) – Un enlace simbólico (también conocido como enlace simbólico) derivado de un manejo de error deficiente que puede usarse para apuntar a cualquier archivo en el sistema de archivos desde el directorio permitido, permitiendo que un atacante lea o altere los archivos críticos («/etc/sudoers» o suelte el código malicioso, lo que resulta en la ejecución del código al hacer un uso de agentes de lanzamiento, cronas o otros trabajos de persistencia o otros trabajos de persistencia o otros trabajos de persistencia o otra persistencia
Ambas deficiencias afectan todas las versiones del servidor MCP del sistema de archivos antes de 0.6.3 y 2025.7.1, que incluyen las correcciones relevantes.
«Esta vulnerabilidad es una violación grave del modelo de seguridad de los servidores MCP del sistema de archivos», dijo el investigador de seguridad Elad Beber sobre CVE-2025-53110. «Los atacantes pueden obtener acceso no autorizado al listar, leer o escribir en directorios fuera del alcance permitido, lo que puede exponer archivos confidenciales como credenciales o configuraciones».
«Peor aún, en las configuraciones donde el servidor se ejecuta como un usuario privilegiado, este defecto podría conducir a una escalada de privilegios, permitiendo a los atacantes manipular archivos críticos del sistema y obtener un control más profundo sobre el sistema de host».