Underc0de

Investigadores de ciberseguridad han identificado una vulnerabilidad crítica en MCP Inspector, una herramienta de desarrollo del ecosistema de inteligencia artificial (IA) de Anthropic, que permite la ejecución remota de código (RCE) en sistemas de desarrollo local. Esta falla, rastreada como CVE-2025-49596, posee una puntuación CVSS de 9.4/10, lo que la posiciona como una amenaza severa para la seguridad de los desarrolladores, entornos de código abierto y usuarios empresariales que trabajan con el Model Context Protocol (MCP).

¿Qué es MCP Inspector y por qué es relevante?

El Model Context Protocol (MCP), lanzado por Anthropic en noviembre de 2024, es un protocolo abierto diseñado para estandarizar cómo los modelos de lenguaje grande (LLM) interactúan con fuentes de datos externas y herramientas auxiliares. MCP Inspector es una herramienta clave dentro de este ecosistema, utilizada para probar y depurar servidores MCP, conectando una interfaz web con servidores locales o remotos que exponen funcionalidades a través del protocolo.

La amenaza detrás de CVE-2025-49596

Según un informe publicado por Oligo Security, la vulnerabilidad reside en la configuración por defecto de MCP Inspector, que carece de autenticación y cifrado. Esto, sumado a la posibilidad de exposición a redes no confiables, habilita a atacantes a lanzar comandos arbitrarios desde navegadores, simplemente al hacer que un desarrollador visite un sitio web malicioso.

Citar"Este es uno de los primeros RCE críticos en el ecosistema MCP de Anthropic, y demuestra cómo las herramientas IA pueden ser utilizadas como vectores de ataque desde el navegador", explicó Avi Lumelsky, investigador de Oligo Security.

El ataque combina una vulnerabilidad CSRF en Inspector con una debilidad de larga data en navegadores modernos denominada 0.0.0.0 Day, la cual permite a sitios web maliciosos interactuar con servicios locales expuestos, como los que ejecuta MCP Inspector por defecto en 0.0.0.0:6277.

Prueba de concepto y mecanismos de explotación

La prueba de concepto (PoC) desarrollada por los investigadores demuestra cómo un sitio web malicioso puede usar Server-Sent Events (SSE) para enviar solicitudes al servidor proxy de MCP Inspector desde el navegador. Esto permite la ejecución de comandos en el equipo del desarrollador incluso si este solo está escuchando en localhost.

La dirección IP 0.0.0.0 indica al sistema operativo que escuche en todas las interfaces de red, lo cual incluye 127.0.0.1, abriendo la posibilidad de ataques remotos si la herramienta está mal configurada.

Además, los atacantes pueden aplicar técnicas como la revinculación de DNS, falsificando registros que apuntan a direcciones locales, lo que facilita aún más la obtención de privilegios de ejecución remota.

Solución y mitigación: versión 0.14.1

Tras la divulgación responsable en abril de 2025, los responsables del proyecto lanzaron la versión 0.14.1 de MCP Inspector el 13 de junio de 2025. Esta actualización incorpora:

• Autenticación por token de sesión en el servidor proxy.
• Validación de encabezados HTTP Origin y Host.
• Bloqueo por defecto de ataques CSRF y revinculación de DNS.

Citar"Los servicios localhost no siempre son seguros. Las capacidades de red de los navegadores y herramientas como MCP pueden exponer servicios a Internet sin que el desarrollador lo note", advirtió Lumelsky.

Más amenazas en el ecosistema MCP

El hallazgo de CVE-2025-49596 se suma a otros incidentes recientes. Trend Micro reportó una vulnerabilidad de inyección SQL no parcheada en el servidor SQLite MCP de Anthropic que podría usarse para insertar avisos maliciosos y tomar el control de los flujos de trabajo de agentes de IA.

También, Backslash Security descubrió que cientos de servidores MCP eran vulnerables debido a configuraciones inseguras como:

• Permitir ejecución de comandos arbitrarios sin verificación.
• Acceso a servicios a través de 0.0.0.0, facilitando el ataque conocido como NeighborJack.

Citar"En un entorno como una cafetería o espacio de coworking, un desarrollador puede estar ejecutando MCP en su máquina. Un atacante cercano podría acceder al servicio y ejecutar comandos sin restricciones", alertó Backslash Security.

Riesgo de envenenamiento del contexto en LLM

Debido a que MCP está diseñado para acceder a fuentes de datos externas, también puede ser explotado para el envenenamiento del contexto, alterando la salida de un modelo de lenguaje grande (LLM) a través de entradas maliciosas que contienen instrucciones ocultas.

El investigador Micah Gold señaló que mitigar esta amenaza requeriría que cada herramienta MCP implemente mecanismos propios de sanitización de datos, lo que resulta poco práctico. En cambio, propone configurar reglas de IA predefinidas que permitan a los agentes identificar comportamientos sospechosos o manipulaciones en tiempo real.

Recomendaciones para desarrolladores

Actualizar a MCP Inspector 0.14.1 inmediatamente.

• No ejecutar el servidor MCP en 0.0.0.0 sin control de acceso.
• Implementar autenticación en entornos locales, incluso si son de desarrollo.
• Monitorizar el tráfico hacia localhost desde el navegador.
• Definir reglas de comportamiento seguras para los agentes de IA.

Fuente: https://thehackernews.com/