CVE-2025-6514: одна строка кода — и ваша ОС под контролем злоумышленника

Специалисты из JFrog сообщили об обнаружении критической уязвимости в популярной open-source библиотеке mcp-remote, используемой для интеграции ИИ-моделей с внешними сервисами. Уязвимость получила идентификатор CVE-2025-6514 и чрезвычайно высокий балл по шкале CVSS — 9,6 из 10, что указывает на серьёзную угрозу безопасности для всех пользователей, работающих с удалёнными MCP-серверами.

Библиотека mcp-remote была создана как вспомогательный инструмент после выхода Model Context Protocol ( MCP ) от компании Anthropic. Он выполняет роль локального прокси, позволяя таким клиентам, как Claude Desktop, подключаться к удалённым MCP-серверам. Таким образом, взаимодействие с внешними источниками данных больше не требует запуска серверной части на одной машине с ИИ-приложением. Библиотека распространяется через npm и была загружена более 437 тысяч раз.

Проблема затрагивает версии mcp-remote с 0.0.5 по 0.1.15. уязвимость была устранена в версии 0.1.16, вышедшей 17 июня 2025 года. В случае, если пользователь использует одну из уязвимых версий и устанавливает соединение с недоверенным сервером MCP, существует риск полного захвата управления системой. Это стало первым задокументированным случаем, когда удалённое выполнение кода на клиентской ОС стало возможным при подключении к внешнему MCP-серверу.

Суть уязвимости заключается в том, что злоумышленник может встроить команду в процесс установления и авторизации соединения. В момент обработки этой команды mcp-remote запускает её напрямую на операционной системе. На Windows это позволяет выполнить любые команды с полным контролем параметров. На Linux и macOS — запускать произвольные исполняемые файлы, хоть и с ограничениями по передаче параметров.

Руководитель команды JFrog Or Peles отметил, что ранее уже фиксировались риски при подключении MCP-клиентов к вредоносным серверам, однако именно эта уязвимость позволяет впервые в реальных условиях выполнить удалённый код на стороне клиента. В связи с этим всем пользователям рекомендуется обновить библиотеку до версии 0.1.16 и использовать только доверенные MCP-серверы по защищённым HTTPS-соединениям.

Раскрытие этой уязвимости произошло вскоре после аналогичного инцидента , описанного компанией Oligo Security. Тогда была обнаружена критическая уязвимость CVE-2025-49596 в инструменте MCP Inspector, также допускающая удалённое выполнение кода. Её CVSS-оценка составила 9,4.

Дополнительные угрозы были найдены и в другом компоненте инфраструктуры Anthropic — Filesystem MCP Server. Там специалисты из Cymulate выявили две серьёзные уязвимости:

• CVE-2025-53110 (CVSS 7.3): позволяет обойти ограничения доступа к каталогам и проникать в системные директории вне разрешённого диапазона. Это может привести к краже данных и повышению привилегий.
• CVE-2025-53109 (CVSS 8.4): использует обход через символьные ссылки и позволяет изменять или читать критически важные системные файлы. При определённых условиях уязвимость может привести к установке вредоносного ПО и его запуску от имени привилегированного пользователя.

Обе уязвимости устранены в версиях Filesystem MCP Server 0.6.3 и 2025.7.1. Однако даже с учётом выпущенных обновлений, они вызвали серьёзные опасения в сообществе. Исследователь Элад Бебер подчеркнул, что в условиях запуска сервера от имени системного пользователя возможен полный захват контроля над системой.

Эти инциденты подчёркивают растущие риски безопасности в экосистеме MCP и необходимость строгой гигиены подключения к внешним серверам, особенно при использовании продуктов с открытым исходным кодом, интегрированных с ИИ-приложениями.