Los investigadores de seguridad cibernética han descubierto una vulnerabilidad crítica de seguridad en el proyecto Inspector de Protocolo de Contexto Modelo de Contexto (MCP) de la compañía artificial (AI) que podría dar lugar a la ejecución de código remoto (RCE) y permitir que un atacante obtenga acceso completo a los hosts.
La vulnerabilidad, rastreada como CVE-2025-49596, tiene una puntuación CVSS de 9.4 de un máximo de 10.0.
«Este es uno de los primeros RCE críticos en el ecosistema MCP de Anthrope, exponiendo una nueva clase de ataques basados en el navegador contra las herramientas de desarrolladores de IA», dijo Avi Lumelsky de Oligo Security en un informe publicado la semana pasada.
«Con la ejecución del código en la máquina de un desarrollador, los atacantes pueden robar datos, instalar puertas traseras y moverse lateralmente a través de las redes, lo que destaca los riesgos graves para los equipos de IA, los proyectos de código abierto y los adoptantes empresariales que dependen de MCP».
MCP, introducido por Anthrope en noviembre de 2024, es un protocolo abierto que estandariza la forma en que las aplicaciones del Modelo de lenguaje grande (LLM) integran y comparten datos con fuentes y herramientas de datos externas.
El Inspector MCP es una herramienta de desarrollador para probar y depurar servidores MCP, que exponen capacidades específicas a través del protocolo y permiten que un sistema de IA acceda e interactúe con información más allá de sus datos de capacitación.
Contiene dos componentes, un cliente que proporciona una interfaz interactiva para la prueba y la depuración, y un servidor proxy que une la interfaz de usuario web a diferentes servidores MCP.
Dicho esto, una consideración clave de seguridad a tener en cuenta es que el servidor no debe estar expuesto a ninguna red no confiable, ya que tiene permiso para generar procesos locales y puede conectarse a cualquier servidor MCP especificado.
Este aspecto, junto con el hecho de que los desarrolladores de configuración predeterminados usan para girar una versión local de la herramienta vienen con riesgos de seguridad «significativos», como la autenticación y el cifrado faltantes, abre una nueva vía de ataque, Per Oligo.
«Esta configuración errónea crea una superficie de ataque significativa, ya que cualquier persona con acceso a la red local o en Internet público puede interactuar y explotar estos servidores», dijo Lumelsky.
El ataque se desarrolla al encadenar un defecto de seguridad conocido que afecta los navegadores web modernos, denominado 0.0.0.0 días, con una vulnerabilidad de falsificación de solicitud de sitio cruzado (CSRF) en el inspector (CVE-2025-49596) para ejecutar código arbitrario en el host simplemente al visitar un sitio web malicioso.
«Las versiones del inspector de MCP por debajo de 0.14.1 son vulnerables a la ejecución de código remoto debido a la falta de autenticación entre el cliente del inspector y el proxy, lo que permite solicitudes no autenticadas para lanzar comandos MCP sobre STDIO», dijeron los desarrolladores del inspector de MCP en un asesor para CVE-2025-49596.
0.0.0.0 Day es una vulnerabilidad de 19 años en los navegadores web modernos que podrían permitir que los sitios web maliciosos violen las redes locales. Aprovecha la incapacidad de los navegadores para manejar de forma segura la dirección IP 0.0.0.0, lo que lleva a la ejecución del código.
«Los atacantes pueden explotar este defecto creando un sitio web malicioso que envía solicitudes a los servicios de LocalHost que se ejecutan en un servidor MCP, obteniendo así la capacidad de ejecutar comandos arbitrarios en la máquina de un desarrollador», explicó Lumelsky.
«El hecho de que las configuraciones predeterminadas exponen los servidores MCP a este tipo de ataques significa que muchos desarrolladores pueden abrir inadvertidamente una puerta trasera a su máquina».
Específicamente, el punto final de prueba de concepto (POC) utiliza el punto final de eventos de servidor (SSE) para enviar una solicitud maliciosa de un sitio web controlado por el atacante para lograr RCE en la máquina que ejecuta la herramienta incluso si está escuchando en Localhost (127.0.0.1).
Esto funciona porque la dirección IP 0.0.0.0 le dice al sistema operativo que escuche en todas las direcciones IP asignadas a la máquina, incluida la interfaz de bucle de bucle local (es decir, localhost).
En un escenario de ataque hipotético, un atacante podría configurar una página web falsa y engañar a un desarrollador para que lo visite, en ese momento, el Javascript malicioso incrustado en la página enviaría una solicitud a 0.0.0.0:6277 (el puerto predeterminado en el que se ejecuta el proxy), instruyendo al servidor proxy del inspector MCP para ejecutar comandos arbitrarios.
El ataque también puede aprovechar las técnicas de reembolso del DNS para crear un registro de DNS forjado que apunte a 0.0.0.0:6277 o 127.0.0.1:6277 para evitar los controles de seguridad y obtener privilegios de RCE.
Después de la divulgación responsable en abril de 2025, los mantenedores del proyecto abordaron la vulnerabilidad el 13 de junio con el lanzamiento de la versión 0.14.1. Las correcciones agregan un token de sesión al servidor proxy e incorporan la validación de origen para conectar completamente el vector de ataque.
«Los servicios de localhost pueden parecer seguros, pero a menudo están expuestos a Internet público debido a las capacidades de enrutamiento de redes en navegadores y clientes de MCP», dijo Oligo.
«La mitigación agrega autorización que faltaba en el valor predeterminado antes de la solución, así como verificar los encabezados de host y origen en HTTP, asegurándose de que el cliente realmente esté visitando desde un dominio de confianza conocido. Ahora, por defecto, el servidor bloquea el REDS DNS y los ataques CSRF».
