Problema 5575
Dos vulnerabilidades críticas de ejecución remota de código en el ecosistema del Protocolo de Contexto de Modelo (MCP) han revelado los riesgos ocultos que acechan en lo que rápidamente se está convirtiendo en la nueva infraestructura principal de la IA.
Reportadas por Tenable y JFrog Security Research, respectivamente, las fallas exponen a desarrolladores y usuarios finales a ataques que podrían permitir a los adversarios tomar el control de los sistemas y ejecutar código arbitrario en ellos con relativa facilidad.
La nueva infraestructura (vulnerable) de la IA
MCP es un estándar de código abierto desarrollado por Anthropic para que los modelos de IA se conecten e interactúen de forma segura con fuentes de datos como bases de datos, repositorios de contenido y herramientas. Permite a modelos de IA como Claude de Anthropic, por ejemplo, recuperar datos en tiempo real de Slack, actualizar tickets de Jira o consultar bases de datos de clientes, todo ello de forma estándar y segura, a través de una arquitectura cliente-servidor.
"Piense en MCP como un adaptador universal para aplicaciones de IA, similar a lo que USB-C es para dispositivos físicos", dice la descripción oficial. "USB-C actúa como un adaptador universal para conectar dispositivos a diversos periféricos y accesorios. De igual forma, MCP proporciona una forma estandarizada de conectar aplicaciones de IA a diferentes datos y herramientas".
Las vulnerabilidades que Tenable y JFrog reportaron esta semana afectan a diferentes componentes del ecosistema MCP.
La falla que Tenable descubrió, CVE-2025-49596, afecta a la herramienta de código abierto MCP Inspector de Anthropic para probar y depurar servidores MCP. Los servidores MCP actúan básicamente como una capa intermedia entre un modelo de IA y la fuente de datos a la que se conecta. Según un sitio web que sigue las cifras, existen cerca de 5000 servidores MCP en todo el mundo con los que las organizaciones pueden integrar sus modelos de IA para una amplia variedad de casos de uso. Desafortunadamente, muchos de ellos están mal configurados o son inseguros y exponen a las organizaciones que los utilizan a un mayor riesgo de ataques.
Errores críticos de seguridad de RCE
CVE-2025-49596, con una calificación crítica de 9,4 en la escala de gravedad del Sistema Común de Puntuación de Vulnerabilidades (CVSS), se relaciona con un componente de servidor proxy en MCP Inspector que acepta conexiones sin autenticación ni validación de origen desde cualquier dirección IP, lo que lo hace accesible desde cualquier lugar de la red, e incluso potencialmente desde Internet. La falla afecta a versiones de MCP Inspector anteriores a la 0.14.1. Anthropic ha publicado una corrección para la falla y está añadiendo autenticación de token de sesión y validación de origen para mitigar la amenaza.
Rémy Marot, ingeniero de investigación de Tenable, afirma que existen dos escenarios principales de explotación. Si un atacante está en la misma red que la máquina que aloja la instancia de proxy, puede inyectar directamente comandos maliciosos en ella. Los atacantes también pueden explotar la vulnerabilidad enviando solicitudes HTTP manipuladas a través de una página web maliciosa y engañando al proxy para que ejecute código arbitrario en la máquina del desarrollador.
"Una cadena de ataque comienza con un atacante que crea un sitio web malicioso que aloja un código JavaScript malicioso, el cual realiza solicitudes entre sitios", afirma Marot. "Si un desarrollador que utiliza una versión vulnerable de MCP Inspector visita este sitio web malicioso, el script malicioso se ejecuta, comprometiendo completamente su estación de trabajo".
La falla que JFrog descubrió, CVE-2025-6514, es un problema de inyección de comandos que afecta al proyecto de código abierto mcp-remote. Como lo describió JFrog, "Mcp-remote es un proxy que permite a los hosts de Large Language Model (LLM) como Claude Desktop comunicarse con servidores MCP remotos, incluso si de forma nativa solo admiten la comunicación con servidores MCP locales". Con una puntuación CVSS de 9,6, CVE-2025-6514 es un problema crítico de saneamiento inadecuado que permite la inyección de comandos del sistema operativo en clientes que ejecutan mcp-remote. La vulnerabilidad está presente en las versiones 0.0.5 a 0.1.15 de mcp-remote.
"Cualquier persona que use mcp-remote y se conecte a un servidor MCP no confiable o inseguro con una versión afectada es vulnerable a este ataque", según JFrog. El proveedor de seguridad instó a las organizaciones afectadas a actualizar mcp-remote a la versión 0.1.16 para mitigar el riesgo y garantizar que solo se conecten a servidores MCP confiables a través de HTTPS.
La adopción de MCP supera a la seguridad
Shachar Menashe, vicepresidente de investigación de seguridad de JFrog, afirma que los atacantes que ya están en una red local pueden usar con relativa facilidad un ataque de intermediario (MITM) para rastrear el tráfico de la LAN, detectar si alguien realiza solicitudes HTTP al endpoint vulnerable e inyectar respuestas maliciosas. Aprovechar la vulnerabilidad de forma remota es más difícil, ya que un atacante tendría que saber que la víctima está usando mcp-remote. Sin embargo, existen escenarios en los que un atacante remoto podría proporcionar datos manipulados a clientes MCP y tomar el control de sus sistemas, afirma.
Soujanya Ain, gerente de marketing de producto de GitGuardian, afirma que la rápida adopción de MCP está superando la preparación en seguridad de las organizaciones que lo están aprovechando para habilitar las capacidades de IA agentic. Los servidores MCP son la columna vertebral de los flujos de trabajo de agentes (https://www.techtarget.com/searchenterpriseai/definition/agentic-AI) y se están multiplicando rápidamente, con más de 5000 ya publicados en registros públicos como Smithery.ai (https://smithery.ai/)», afirma Ain.
Señala una investigación reciente de GitGuardian que muestra que el 5,2 % de estos servidores han filtrado al menos un secreto, una cifra notablemente superior al 4,6 % de referencia en todos los repositorios de GitHub. «Estas filtraciones incluyen credenciales de alto riesgo como tokens de portador y claves X-API, precisamente las que permiten el movimiento lateral, el acceso a la nube y la exfiltración de datos si se ven comprometidas», afirma.
Gran parte de esto ocurre porque las organizaciones se apresuran a adoptar MCP sin políticas claras ni medidas de seguridad. El rápido crecimiento del uso del protocolo MCP ha introducido nuevos vectores de ataque, como la usurpación de herramientas, la inyección de solicitudes y la escalada no autorizada de privilegios mediante servidores MCP locales mal configurados.
"Dado que los LLM pueden orquestar estas herramientas sin supervisión humana, un agente comprometido puede encadenar acciones silenciosamente (leer archivos, llamar a API e incluso activar cambios en la infraestructura), todo ello sin ser detectado", afirma Ain.
Los equipos de seguridad aún no consideran los servidores MCP como infraestructura, lo que crea un gran punto ciego, señala Ain: "Como toda infraestructura, los servidores MCP necesitan interfaces reforzadas, credenciales con alcance definido, registros de auditoría y, lo más importante, políticas de acceso que reconozcan la identidad".