网络安全研究人员发现,开源项目mcp-remote存在一个严重漏洞,该漏洞可导致攻击者执行任意操作系统命令。
这个编号为CVE-2025-6514的漏洞,CVSS评分为9.6(满分10.0)。
JFrog漏洞研究团队负责人奥尔・佩莱斯表示:“该漏洞使得攻击者在mcp-remote连接到不可信的MCP服务器时,能够在运行mcp-remote的机器上触发任意操作系统命令执行,这对用户构成重大风险——可能导致整个系统被攻陷。”
mcp-remote工具诞生于Anthropic发布模型上下文协议(MCP)之后。MCP是一个开源框架,用于规范大型语言模型(LLM)应用程序与外部数据源和服务之间的数据集成及共享方式。
mcp-remote充当本地代理,使ClaudeDesktop等MCP客户端能够与远程MCP服务器通信,而无需与大型语言模型应用程序在同一台机器上本地运行。截至目前,这个npm包的下载量已超过43.7万次。
该漏洞影响mcp-remote的0.0.5至0.1.15版本。2025年6月17日发布的0.1.16版本已修复此漏洞。任何使用受影响版本的mcp-remote且连接到不可信或不安全MCP服务器的用户都面临风险。
佩莱斯称:“虽然此前已有研究表明,MCP客户端连接到恶意MCP服务器存在风险,但这是首次在现实场景中,客户端连接到不可信的远程MCP服务器时,实现了对客户端操作系统的完全远程代码执行。”
这一缺陷与以下情况有关:攻击者操控的恶意MCP服务器可在初始通信建立和授权阶段嵌入一条命令,当mcp-remote处理该命令时,会导致其在底层操作系统上执行。
该问题在Windows系统上可导致具有完全参数控制的任意操作系统命令执行,而在macOS和Linux系统上,则会导致具有有限参数控制的任意可执行文件执行。
为降低该漏洞带来的风险,建议用户将该库更新至最新版本,且仅通过HTTPS连接到可信的MCP服务器。
佩莱斯表示:“虽然在受管理的环境中,远程MCP服务器是扩展人工智能能力、促进代码快速迭代以及助力确保软件更可靠交付的高效工具,但MCP用户必须注意,仅使用HTTPS等安全连接方式连接到可信的MCP服务器。”
“否则,像CVE-2025-6514这样的漏洞可能会在不断发展的MCP生态系统中劫持MCP客户端。”
此前,Oligo Security曾披露MCP Inspector工具存在一个严重漏洞(CVE-2025-49596,CVSS评分9.4),该漏洞可能为远程代码执行创造条件。此次mcp-remote漏洞的披露紧随其后。
本月早些时候,研究人员还在Anthropic的文件系统MCP服务器中发现了另外两个高严重性安全缺陷。若这些缺陷被成功利用,攻击者可突破服务器的沙箱限制,操控主机上的任意文件,并实现代码执行。
据Cymulate介绍,这两个漏洞如下:
- CVE-2025-53110(CVSS评分7.3):这是一个目录包含绕过漏洞。攻击者可通过在其他目录(如“/private/tmp/allow_dir_sensitive_credentials”)上使用允许的目录前缀(如“/private/tmp/allowed_dir”),访问、读取或写入获批目录之外的内容,从而为数据窃取和可能的权限提升打开方便之门。
- CVE-2025-53109(CVSS评分8.4):这是一个因错误处理不当导致的符号链接(又称软链接)绕过漏洞。攻击者可利用该漏洞从获批目录指向文件系统上的任意文件,进而读取或篡改关键文件(如“/etc/sudoers”),或植入恶意代码,并借助启动代理、定时任务或其他持久化技术实现代码执行。
这两个缺陷影响文件系统MCP服务器的所有版本(0.6.3版本及2025.7.1版本之前的版本已包含相关修复)。
安全研究员埃拉德・贝伯就CVE-2025-53110表示:“该漏洞严重违背了文件系统MCP服务器的安全模型。攻击者可通过列出、读取或写入获批范围之外的目录,获得未授权访问,可能导致凭证或配置等敏感文件泄露。”
“更糟糕的是,在服务器以特权用户身份运行的设置中,该缺陷可能导致权限提升,使攻击者能够操控关键系统文件,并更深程度地控制主机系统。”
发表评论
您还未登录,请先登录。
登录