Problème 5575
Deux vulnérabilités critiques d'exécution de code à distance dans l'écosystème du protocole MCP (Model Context Protocol) ont révélé les risques cachés qui se cachent dans ce qui est en passe de devenir la nouvelle infrastructure principale de l'IA.
Respectivement signalées par Tenable et JFrog Security Research, ces failles exposent les développeurs et les utilisateurs finaux à des attaques qui pourraient permettre à des adversaires de prendre le contrôle des systèmes et d'y exécuter du code arbitraire avec une relative facilité.
La nouvelle plomberie (vulnérable) de l'IA
MCP est une norme open source développée par Anthropic pour permettre aux modèles d'IA de se connecter et d'interagir en toute sécurité avec des sources de données telles que des bases de données, des référentiels de contenu et des outils. Elle permet aux modèles d'IA comme Claude d'Anthropic, par exemple, de récupérer des données en temps réel depuis Slack, de mettre à jour des tickets Jira ou d'interroger des bases de données clients, le tout de manière standardisée et sécurisée, grâce à une architecture client-serveur.
« Considérez MCP comme un adaptateur universel pour les applications d'IA, similaire à l'USB-C pour les appareils physiques », explique la description officielle (https://modelcontextprotocol.io/faqs). « L'USB-C agit comme un adaptateur universel pour connecter les appareils à divers périphériques et accessoires. De même, MCP offre un moyen standardisé de connecter les applications d'IA à différentes données et outils. »
Les vulnérabilités signalées cette semaine par Tenable et JFrog affectent différents composants de l'écosystème MCP.
La faille découverte par Tenable, CVE-2025-49596, affecte l'outil open source MCP Inspector d'Anthropic pour tester et déboguer les serveurs MCP. Les serveurs MCP agissent en quelque sorte comme une couche intermédiaire entre un modèle d'IA et la source de données à laquelle il se connecte. Selon un site qui suit les chiffres, il existe près de 5 000 serveurs MCP dans le monde, auxquels les organisations peuvent intégrer leurs modèles d'IA, pour une grande variété de cas d'utilisation. Malheureusement, nombre d'entre eux sont mal configurés ou non sécurisés, ce qui expose les organisations qui les utilisent à un risque accru d'attaque. Bugs de sécurité critiques d'exécution de code à distance
CVE-2025-49596, dont le niveau critique est de 9,4 sur l'échelle de gravité CVSS (Common Vulnerability Scoring System), concerne un composant proxy de MCP Inspector acceptant des connexions sans authentification ni validation d'origine depuis n'importe quelle adresse IP, le rendant ainsi accessible depuis n'importe quel point du réseau, et potentiellement depuis Internet. Cette faille affecte les versions de MCP Inspector antérieures à la version 0.14.1. Anthropic a publié un correctif et ajoute l'authentification par jeton de session et la validation d'origine afin d'atténuer la menace.
Rémy Marot, ingénieur de recherche chez Tenable, explique qu'il existe deux principaux scénarios d'exploitation. Si un attaquant se trouve sur le même réseau que la machine hébergeant l'instance proxy, il peut y injecter directement des commandes malveillantes. Les attaquants peuvent également exploiter la vulnérabilité en envoyant des requêtes HTTP spécialement conçues via une page web malveillante et en incitant le proxy à exécuter du code arbitraire sur la machine du développeur.
« Une chaîne d'attaque commence par la création par un attaquant d'un site web malveillant hébergeant un code JavaScript malveillant, qui effectuera des requêtes intersites », explique Marot. « Si un développeur utilisant une version vulnérable de MCP Inspector visite ce site web malveillant, le script malveillant s'exécutera, compromettant totalement son poste de travail. »
La faille CVE-2025-6514, découverte par JFrog, est un problème d'injection de commandes qui affecte le projet open source mcp-remote. Comme l'a décrit JFrog, « Mcp-remote est un proxy qui permet aux hôtes LLM (Large Language Model) tels que Claude Desktop de communiquer avec des serveurs MCP distants, même s'ils ne prennent en charge nativement la communication qu'avec des serveurs MCP locaux. »
Avec un score CVSS de 9,6, CVE-2025-6514 est un problème critique de nettoyage incorrect qui permet l'injection de commandes du système d'exploitation sur les clients exécutant mcp-remote. Cette vulnérabilité est présente dans les versions 0.0.5 à 0.1.15 de mcp-remote.
« Tout utilisateur de mcp-remote se connectant à un serveur MCP non fiable ou non sécurisé via une version affectée est vulnérable à cette attaque », selon JFrog. L'éditeur de sécurité a vivement recommandé aux organisations concernées de mettre à jour mcp-remote vers la version 0.1.16 afin de limiter les risques et de s'assurer qu'elles se connectent uniquement à des serveurs MCP fiables via HTTPS.
L'adoption de MCP dépasse la sécurité
Shachar Menashe, vice-président de la recherche en sécurité chez JFrog, affirme que les attaquants déjà présents sur un réseau local peuvent relativement facilement utiliser une attaque de l'homme du milieu (MITM) pour analyser le trafic LAN, détecter si quelqu'un envoie des requêtes HTTP au point de terminaison vulnérable et injecter des réponses malveillantes. Exploiter la vulnérabilité à distance est plus difficile, car un attaquant devrait savoir que la victime utilise mcp-remote. Cependant, il existe des scénarios où un attaquant distant pourrait transmettre des données personnalisées aux clients MCP et prendre le contrôle de leurs systèmes, précise-t-il.
Soujanya Ain, responsable marketing produit chez GitGuardian, affirme que l'adoption rapide de MCP dépasse le niveau de sécurité des organisations qui l'exploitent pour activer leurs capacités d'IA agentique. « Les serveurs MCP sont l'épine dorsale des flux de travail agentiques » (https://www.techtarget.com/searchenterpriseai/definition/agentic-AI) et se multiplient rapidement, avec plus de 5 000 déjà publiés dans des registres publics comme Smithery.ai (https://smithery.ai/) », explique Ain.
Elle cite une étude récente de GitGuardian qui montre que 5,2 % de ces serveurs ont divulgué au moins un secret, un chiffre nettement supérieur aux 4,6 % de référence pour l'ensemble des dépôts GitHub. « Ces fuites concernent des identifiants à haut risque, comme les jetons porteurs et les clés X-API, ceux-là mêmes qui permettent les mouvements latéraux, l'accès au cloud et l'exfiltration de données en cas de compromission », précise-t-elle.
Cela est dû en grande partie au fait que les organisations se précipitent pour adopter MCP sans politiques claires ni dispositifs de sécurité. L'utilisation croissante du protocole MCP a introduit de nouveaux vecteurs d'attaque, notamment le squatting d'outils, l'injection de messages instantanés et l'élévation de privilèges non autorisée via des serveurs MCP locaux mal configurés.
« Comme les LLM peuvent orchestrer ces outils sans surveillance humaine, un agent compromis peut enchaîner silencieusement des actions (lecture de fichiers, appel d'API, voire déclenchement de modifications d'infrastructure), le tout sans être détecté », explique Ain.
Les équipes de sécurité ne considèrent pas encore les serveurs MCP comme une infrastructure, ce qui crée un angle mort important, remarque Ain : « Comme toute infrastructure, les serveurs MCP nécessitent des interfaces renforcées, des identifiants définis, des pistes d'audit et, surtout, des politiques d'accès tenant compte des identités. »