Pesquisadores de cibersegurança descobriram uma vulnerabilidade crítica no projeto open-source mcp-remote, que poderia resultar na execução de comandos arbitrários do sistema operacional (OS).
A vulnerabilidade, identificada como
CVE-2025-6514
, recebeu um score CVSS de 9,6 em 10,0.
"A vulnerabilidade permite aos atacantes acionar a execução de comandos arbitrários do OS na máquina que executa o mcp-remote quando este inicia uma conexão com um servidor MCP não confiável, representando um risco significativo para os usuários – um comprometimento total do sistema", disse Or Peles, líder da equipe de pesquisa de vulnerabilidades da JFrog.
O mcp-remote é uma ferramenta que surgiu após o lançamento pela Anthropic do Model Context Protocol (MCP), uma estrutura open-source que padroniza a maneira como aplicações de Large Language Model (LLM) integram e compartilham dados com fontes de dados e serviços externos.
Ele atua como um proxy local, permitindo que clientes MCP, como o Claude Desktop, se comuniquem com servidores MCP remotos, em vez de executá-los localmente na mesma máquina que a aplicação LLM.
O pacote npm foi baixado mais de 437.000 vezes até agora.
A vulnerabilidade afeta as versões do mcp-remote de 0.0.5 a 0.1.15.
Ela foi corrigida na versão 0.1.16, lançada em 17 de junho de 2025.
Qualquer pessoa que esteja usando o mcp-remote e conecte-se a um servidor MCP não confiável ou inseguro usando uma versão afetada corre risco
"Embora pesquisas anteriormente publicadas tenham demonstrado riscos da conexão de clientes MCP a servidores MCP maliciosos, esta é a primeira vez que a execução remota completa de códigos é alcançada em um cenário do mundo real no sistema operacional do cliente ao conectar-se a um servidor MCP remoto não confiável", disse Peles.
A falha está relacionada à maneira como um servidor MCP malicioso operado por um ator de ameaça poderia embutir um comando durante a fase inicial de estabelecimento de comunicação e autorização, que, ao ser processado pelo mcp-remote, faz com que seja executado no sistema operacional subjacente.
Enquanto o problema leva à execução de comandos OS arbitrários no Windows com controle total de parâmetros, resulta na execução de executáveis arbitrários com controle limitado de parâmetros nos sistemas macOS e Linux.
Para mitigar o risco apresentado pela falha, aconselha-se aos usuários atualizar a biblioteca para a versão mais recente e se conectar apenas a servidores MCP confiáveis via HTTPS.
"Embora servidores MCP remotos sejam ferramentas altamente eficazes para expandir as capacidades de IA em ambientes gerenciados, facilitando a rápida iteração do código e ajudando a garantir uma entrega de software mais confiável, os usuários de MCP precisam estar cientes de se conectar apenas a servidores MCP confiáveis usando métodos de conexão seguros, como HTTPS", disse Peles.
Caso contrário, vulnerabilidades como
CVE-2025-6514
têm grandes chances de sequestrar clientes MCP no ecossistema MCP em crescimento.
A divulgação ocorre após a Oligo Security detalhar uma vulnerabilidade crítica na ferramenta MCP Inspector (
CVE-2025-49596
, score CVSS: 9.4) que poderia abrir caminho para a execução remota de código.
No início deste mês, outros dois defeitos de segurança de alta gravidade foram descobertos no Filesystem MCP Server da Anthropic, que, se explorados com sucesso, poderiam permitir que atacantes saíssem do sandbox do servidor, manipulassem qualquer arquivo no host e alcançassem a execução de código.
Os dois defeitos, segundo a Cymulate, estão listados abaixo:
-
CVE-2025-53110
(score CVSS: 7,3) - Uma vulnerabilidade de contorno de diretório que possibilita acessar, ler ou escrever fora do diretório aprovado (por exemplo, "/private/tmp/allowed_dir") usando o prefixo do diretório permitido em outros diretórios (por exemplo, "/private/tmp/allow_dir_sensitive_credentials"), abrindo caminho para o roubo de dados e possível escalação de privilégios;
-
CVE-2025-53109
(score CVSS: 8,4) - Uma vulnerabilidade de bypass de link simbólico (aka symlink) decorrente de um tratamento inadequado de erros que pode ser usado para apontar para qualquer arquivo no sistema de arquivos a partir do diretório permitido, permitindo que um atacante leia ou altere arquivos críticos (por exemplo, "/etc/sudoers") ou insira código malicioso, resultando em execução de código por meio do uso de Agentes de Lançamento, trabalhos cron ou outras técnicas de persistência
Ambas as vulnerabilidades afetam todas as versões do Filesystem MCP Server anteriores a 0.6.3 e 2025.7.1, que incluem as correções relevantes.
"Esta vulnerabilidade é uma violação grave do modelo de segurança dos servidores Filesystem MCP", disse o pesquisador de segurança Elad Beber sobre o
CVE-2025-53110
.
Os atacantes podem obter acesso não autorizado listando, lendo ou escrevendo em diretórios fora do escopo permitido, expondo potencialmente arquivos sensíveis como credenciais ou configurações.
Pior, em configurações onde o servidor é executado como um usuário privilegiado, essa falha poderia levar à escalada de privilégios, permitindo que os atacantes manipulem arquivos críticos do sistema e ganhem controle mais profundo sobre o sistema hospedeiro.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...