Эксперты в сфере кибербезопасности обнаружили критическую уязвимость в open-source инструменте mcp-remote — она даёт возможность хакерам исполнять любые команды на заражённом компьютере.
Эта брешь получила идентификатор CVE-2025-6514 и рейтинг 9,6 из 10 по степени опасности.
CVE-2025-6514
«Уязвимость позволяет атакующему заставить mcp-remote выполнить произвольные команды, если тот подключается к недоверенному MCP-серверу. Это может привести к полному захвату системы», — объясняет Ор Пелес, руководитель исследовательского отдела JFrog.
mcp-remote — инструмент, появившийся после выпускa протокола Model Context Protocol (MCP) от Anthropic. MCP определяет стандарты интеграции и обмена данными между приложениями, работающими с большими языковыми моделями (LLM).
В качестве локального прокси mcp-remote обеспечивает связь между клиентами MCP (например, Claude Desktop) и удалёнными MCP-серверами — даже если последние находятся на других машинах. Библиотека на npm уже скачана свыше 437 000 раз.
В зоне риска — все версии mcp-remote с 0.0.5 до 0.1.15 включительно. Исправление вышло в версии 0.1.16 от 17 июня 2025 года. Если вы используете уязвимую версию и подключаетесь к сомнительным MCP–серверам, ваша система под угрозой.
«Случаи, когда вредоносные MCP–сервера вредили клиентам, были и раньше, но впервые удалось добиться полноценного удалённого запуска кода на компьютере пользователя через подключение к небезопасному серверу,» — отмечает Пелес.
Главная проблема — вредоносный сервер MCP может внедрять команды на этапе инициализации и авторизации соединения. Если mcp-remote примет такой запрос, команда тут же будет выполнена в вашей операционной системе.
В Windows это позволяет запускать любые команды с полным набором параметров. В macOS и Linux командами манипулировать сложнее, но запуск любых исполняемых файлов тоже возможен.
Чтобы обезопасить себя, настоятельно советуем срочно обновить mcp-remote до последней версии и использовать только доверенные MCP–сервера через защищённое соединение HTTPS.
«Да, удалённые MCP–сервисы — удобный способ ускорить разработку и обогатить возможности ИИ, но убедитесь, что вы подключаетесь исключительно к проверенным серверам и используете только HTTPS», — подчёркивает Пелес.
В противном случае такие уязвимости — как CVE-2025-6514 — легко могут использоваться для захвата клиента MCP и распространения атаки на всю сеть.
Кстати, это уже не первая опасная брешь в экосистеме MCP. Недавно эксперты Oligo Security нашли серьёзную уязвимость в инструменте MCP Inspector (CVE-2025-49596, рейтинг 9,4), которая тоже позволяет запускать чужой код удалённо.
А в начале месяца сразу две опасные проблемы обнаружили в Anthropic Filesystem MCP Server. С их помощью атакующий может выйти из «песочницы», получить доступ ко всем файлам на устройстве и запускать вредоносные скрипты.
Вот какие именно две уязвимости нашли специалисты Cymulate:
- CVE-2025-53110 (оценка 7,3) — обход ограничения директорий: атакующий может получить доступ к папкам и файлам за пределами разрешённого каталога (например, «/private/tmp/allowed_dir» меняется на «/private/tmp/allow_dir_sensitive_credentials»), что ведёт к утечке данных или повышению привилегий.
- CVE-2025-53109 (оценка 8,4) — эксплойт через символьные ссылки (symlink): из-за некорректной обработки ошибок злоумышленник может «подсунуть» symlink из разрешённой папки на любой файл в системе. Это позволяет читать и менять важнейшие файлы (например, «/etc/sudoers») или заражать систему вредоносным ПО с дальнейшим автостартом через Launch Agents, cron и другие способы.
CVE-2025-53110
CVE-2025-53109
Обе эти дыры присутствуют во всех версиях Filesystem MCP Server до 0.6.3 и 2025.7.1 включительно. Свежее обновление эти проблемы устраняет.
«CVE-2025-53110 бьёт по безопасности Filesystem MCP Server, — отмечает исследователь Элад Бебер. — Злоумышленники получают возможность просматривать и менять каталоги вне разрешённых, а это — прямая угроза для ваших конфиденциальных данных и настроек».
«А если сервер работает с повышенными правами, последствия могут быть катастрофическими: взломщик получит полный контроль над системой, сможет править самые критичные файлы и развивать атаку дальше», — резюмирует эксперт.
Если вам понравилась эта статья, подпишитесь, чтобы не пропустить еще много полезных статей!
Премиум подписка - это доступ к эксклюзивным материалам, чтение канала без рекламы, возможность предлагать темы для статей и даже заказывать индивидуальные обзоры/исследования по своим запросам!Подробнее о том, какие преимущества вы получите с премиум подпиской, можно узнать здесь
Также подписывайтесь на нас в:
- Telegram: https://t.me/gergenshin
- Youtube: https://www.youtube.com/@gergenshin
- Яндекс Дзен: https://dzen.ru/gergen
- Официальный сайт: https://www-genshin.ru