Критическая уязвимость CVE-2025-6514 в npm-пакете
Ор Пелес, глава JFrog Vulnerability Research, подчёркивает: «Риск тотален. Подключайтесь только к доверенным серверам через HTTPS». Уязвимость — первая подтверждённая RCE-атака через небезопасные MCP-серверы.
Параллельно CVE-2025-49596 в MCP Inspector (CVSS 9.4) позволяет RCE через веб-интерфейс localhost без аутентификации. Oligo Security и Tenable выявили два вектора: соседние сети (NeighborJacking) и XSS-атаки. Злоумышленник внедряет код, обманывая прокси.
Anthropic Filesystem MCP Server содержит две высокорисковые уязвимости. CVE-2025-53110 (CVSS 7.3) обходит ограничения директорий. Используя префикс разрешённого каталога (например,
CVE-2025-53109 (CVSS 8.4) эксплуатирует симлинки. Ошибки обработки позволяют ссылкам из разрешённой директории указывать на системные файлы вроде
Реми Марко, эксперт по безопасности, сравнивает MCP с «USB-C для ИИ»: растущая инфраструктура требует фундаментальной защиты. Патчи Anthropic — версии 0.6.3 и 2025.7.1. Ор Пелес добавляет: «Удалённые MCP-серверы расширяют возможности ИИ, но HTTPS и доверенные источники — неотъемлемое условие выживания».
mcp-remote (версии 0.0.5–0.1.15) открывает путь к удалённому выполнению кода. При CVSS 9.6 злоумышленник, контролирующий MCP-сервер, внедряет команды на этапе авторизации. Клиентское ПО, включая Claude Desktop, исполняет их на локальной ОС. На Windows возможна полная компрометация с произвольными параметрами; macOS/Linux ограничены запуском бинарников. Более 437 000 загрузок под угрозой. Патч 0.1.16 выпущен 17 июня 2025 года. Изображение носит иллюстративный характер
Ор Пелес, глава JFrog Vulnerability Research, подчёркивает: «Риск тотален. Подключайтесь только к доверенным серверам через HTTPS». Уязвимость — первая подтверждённая RCE-атака через небезопасные MCP-серверы.
Параллельно CVE-2025-49596 в MCP Inspector (CVSS 9.4) позволяет RCE через веб-интерфейс localhost без аутентификации. Oligo Security и Tenable выявили два вектора: соседние сети (NeighborJacking) и XSS-атаки. Злоумышленник внедряет код, обманывая прокси.
Anthropic Filesystem MCP Server содержит две высокорисковые уязвимости. CVE-2025-53110 (CVSS 7.3) обходит ограничения директорий. Используя префикс разрешённого каталога (например,
/private/tmp/allowed_dir), атакующий получает доступ к /private/tmp/allow_dir_sensitive_credentials. Элад Бебер, исследователь, называет это «серьёзным прорывом»: кража данных и эскалация привилегий неизбежны при запуске сервера от root. CVE-2025-53109 (CVSS 8.4) эксплуатирует симлинки. Ошибки обработки позволяют ссылкам из разрешённой директории указывать на системные файлы вроде
/etc/sudoers. Результат — модификация критических данных или скрытая установка вредоносов через Launch Agents. Реми Марко, эксперт по безопасности, сравнивает MCP с «USB-C для ИИ»: растущая инфраструктура требует фундаментальной защиты. Патчи Anthropic — версии 0.6.3 и 2025.7.1. Ор Пелес добавляет: «Удалённые MCP-серверы расширяют возможности ИИ, но HTTPS и доверенные источники — неотъемлемое условие выживания».
