Κρίσιμη ευπάθεια mcp-remote επιτρέπει απομακρυσμένη εκτέλεση κώδικα
secnews.gr
IT Security News, Gadgets, Tweaks for Geeks and More
Κρίσιμη ευπάθεια mcp-remote επιτρέπει απομακρυσμένη εκτέλεση κώδικα
https://www.secnews.gr/653606/krisimi-efpatheia-mcp-remote-epitrepei-apomakrismeni-ektelesi-kodika/
Jul 11th 2025, 12:52
by Absenta Mia
Οι ερευνητές στον τομέα της κυβερνοασφάλειας ανακάλυψαν μια κρίσιμη ευπάθεια στο έργο ανοιχτού κώδικα mcp-remote, η οποία μπορεί να επιτρέψει την εκτέλεση αυθαίρετων εντολών λειτουργικού συστήματος (OS).
Δείτε επίσης: Κρίσιμη ευπάθεια HIKVISION applyCT εκθέτει συσκευές σε επιθέσεις
Η ευπάθεια, που παρακολουθείται υπό το αναγνωριστικό CVE-2025-6514, φέρει βαθμολογία CVSS 9.6 στα 10, υποδεικνύοντας την υψηλή σοβαρότητά της. Το mcp-remote είναι ένα εργαλείο που δημιουργήθηκε έπειτα από την κυκλοφορία του Model Context Protocol (MCP) από την Anthropic — ενός πλαισίου ανοιχτού κώδικα που στοχεύει στην τυποποίηση της ενσωμάτωσης και ανταλλαγής δεδομένων μεταξύ εφαρμογών μεγάλων γλωσσικών μοντέλων (LLM) και εξωτερικών πηγών ή υπηρεσιών.
Το εργαλείο λειτουργεί ως τοπικός διαμεσολαβητής (proxy), επιτρέποντας σε MCP πελάτες, όπως το Claude Desktop, να επικοινωνούν με απομακρυσμένους MCP διακομιστές αντί να τους εκτελούν τοπικά στο ίδιο σύστημα με την εφαρμογή LLM. Το πακέτο npm έχει ήδη μεταφορτωθεί περισσότερες από 437.000 φορές.
Η ευπάθεια επηρεάζει τις εκδόσεις του mcp-remote από 0.0.5 έως 0.1.15. Το πρόβλημα επιλύθηκε με την έκδοση 0.1.16, η οποία κυκλοφόρησε στις 17 Ιουνίου 2025. Όποιος χρησιμοποιεί το mcp-remote και συνδέεται με μη αξιόπιστο ή μη ασφαλή MCP διακομιστή μέσω ευάλωτης έκδοσης, διατρέχει σοβαρό κίνδυνο.
Δείτε ακόμα: Κρίσιμη ευπάθεια σε πρόσθετο WordPress εκθέτει πάνω από 600.000 sites
Η αδυναμία σχετίζεται με τον τρόπο που ένας κακόβουλος MCP διακομιστής, ελεγχόμενος από επιτιθέμενο, μπορεί να ενσωματώσει μια εντολή κατά τη φάση εγκαθίδρυσης της αρχικής επικοινωνίας και εξουσιοδότησης. Όταν η εντολή αυτή επεξεργάζεται από το mcp-remote, εκτελείται στο υποκείμενο λειτουργικό σύστημα.
Κρίσιμη ευπάθεια mcp-remote επιτρέπει απομακρυσμένη εκτέλεση κώδικα
Το πρόβλημα επιτρέπει την αυθαίρετη εκτέλεση εντολών λειτουργικού συστήματος σε Windows, με πλήρη έλεγχο των παραμέτρων. Αντιθέτως, σε macOS και Linux, οδηγεί στην εκτέλεση αυθαίρετων εκτελέσιμων αρχείων, αλλά με περιορισμένο έλεγχο παραμέτρων.
Για την αποφυγή του κινδύνου που ενέχει η ευπάθεια, συνιστάται στους χρήστες να ενημερώσουν τη βιβλιοθήκη στην πιο πρόσφατη έκδοση και να συνδέονται μόνο με αξιόπιστους MCP διακομιστές μέσω HTTPS.
Η αποκάλυψη της ευπάθειας έρχεται λίγο μετά την ανακοίνωση της Oligo Security σχετικά με ένα άλλο σοβαρό κενό ασφαλείας στο εργαλείο MCP Inspector (CVE-2025-49596, βαθμολογία CVSS: 9.4), το οποίο θα μπορούσε να επιτρέψει απομακρυσμένη εκτέλεση κώδικα.
Δείτε επίσης: Η ενημέρωση Chrome 138 διορθώνει ευπάθεια Zero-Day
Ένα ευρύτερο συμπέρασμα είναι ότι η ασφάλεια στην εποχή των AI δεν αφορά μόνο τα ίδια τα μοντέλα, αλλά και την υποδομή που τα υποστηρίζει και τα περιβάλλει — βιβλιοθήκες, εργαλεία διασύνδεσης, APIs, και πλαίσια ανταλλαγής δεδομένων.
Πηγή: thehackernews
You are receiving this email because you subscribed to this feed at https://blogtrottr.com
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz
IT Security News, Gadgets, Tweaks for Geeks and More
Κρίσιμη ευπάθεια mcp-remote επιτρέπει απομακρυσμένη εκτέλεση κώδικα
https://www.secnews.gr/653606/krisimi-efpatheia-mcp-remote-epitrepei-apomakrismeni-ektelesi-kodika/
Jul 11th 2025, 12:52
by Absenta Mia
Οι ερευνητές στον τομέα της κυβερνοασφάλειας ανακάλυψαν μια κρίσιμη ευπάθεια στο έργο ανοιχτού κώδικα mcp-remote, η οποία μπορεί να επιτρέψει την εκτέλεση αυθαίρετων εντολών λειτουργικού συστήματος (OS).
Δείτε επίσης: Κρίσιμη ευπάθεια HIKVISION applyCT εκθέτει συσκευές σε επιθέσεις
Η ευπάθεια, που παρακολουθείται υπό το αναγνωριστικό CVE-2025-6514, φέρει βαθμολογία CVSS 9.6 στα 10, υποδεικνύοντας την υψηλή σοβαρότητά της. Το mcp-remote είναι ένα εργαλείο που δημιουργήθηκε έπειτα από την κυκλοφορία του Model Context Protocol (MCP) από την Anthropic — ενός πλαισίου ανοιχτού κώδικα που στοχεύει στην τυποποίηση της ενσωμάτωσης και ανταλλαγής δεδομένων μεταξύ εφαρμογών μεγάλων γλωσσικών μοντέλων (LLM) και εξωτερικών πηγών ή υπηρεσιών.
Το εργαλείο λειτουργεί ως τοπικός διαμεσολαβητής (proxy), επιτρέποντας σε MCP πελάτες, όπως το Claude Desktop, να επικοινωνούν με απομακρυσμένους MCP διακομιστές αντί να τους εκτελούν τοπικά στο ίδιο σύστημα με την εφαρμογή LLM. Το πακέτο npm έχει ήδη μεταφορτωθεί περισσότερες από 437.000 φορές.
Η ευπάθεια επηρεάζει τις εκδόσεις του mcp-remote από 0.0.5 έως 0.1.15. Το πρόβλημα επιλύθηκε με την έκδοση 0.1.16, η οποία κυκλοφόρησε στις 17 Ιουνίου 2025. Όποιος χρησιμοποιεί το mcp-remote και συνδέεται με μη αξιόπιστο ή μη ασφαλή MCP διακομιστή μέσω ευάλωτης έκδοσης, διατρέχει σοβαρό κίνδυνο.
Δείτε ακόμα: Κρίσιμη ευπάθεια σε πρόσθετο WordPress εκθέτει πάνω από 600.000 sites
Η αδυναμία σχετίζεται με τον τρόπο που ένας κακόβουλος MCP διακομιστής, ελεγχόμενος από επιτιθέμενο, μπορεί να ενσωματώσει μια εντολή κατά τη φάση εγκαθίδρυσης της αρχικής επικοινωνίας και εξουσιοδότησης. Όταν η εντολή αυτή επεξεργάζεται από το mcp-remote, εκτελείται στο υποκείμενο λειτουργικό σύστημα.
Κρίσιμη ευπάθεια mcp-remote επιτρέπει απομακρυσμένη εκτέλεση κώδικα
Το πρόβλημα επιτρέπει την αυθαίρετη εκτέλεση εντολών λειτουργικού συστήματος σε Windows, με πλήρη έλεγχο των παραμέτρων. Αντιθέτως, σε macOS και Linux, οδηγεί στην εκτέλεση αυθαίρετων εκτελέσιμων αρχείων, αλλά με περιορισμένο έλεγχο παραμέτρων.
Για την αποφυγή του κινδύνου που ενέχει η ευπάθεια, συνιστάται στους χρήστες να ενημερώσουν τη βιβλιοθήκη στην πιο πρόσφατη έκδοση και να συνδέονται μόνο με αξιόπιστους MCP διακομιστές μέσω HTTPS.
Η αποκάλυψη της ευπάθειας έρχεται λίγο μετά την ανακοίνωση της Oligo Security σχετικά με ένα άλλο σοβαρό κενό ασφαλείας στο εργαλείο MCP Inspector (CVE-2025-49596, βαθμολογία CVSS: 9.4), το οποίο θα μπορούσε να επιτρέψει απομακρυσμένη εκτέλεση κώδικα.
Δείτε επίσης: Η ενημέρωση Chrome 138 διορθώνει ευπάθεια Zero-Day
Ένα ευρύτερο συμπέρασμα είναι ότι η ασφάλεια στην εποχή των AI δεν αφορά μόνο τα ίδια τα μοντέλα, αλλά και την υποδομή που τα υποστηρίζει και τα περιβάλλει — βιβλιοθήκες, εργαλεία διασύνδεσης, APIs, και πλαίσια ανταλλαγής δεδομένων.
Πηγή: thehackernews
You are receiving this email because you subscribed to this feed at https://blogtrottr.com
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz