Katalog CVE

CVE-2025-6514

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

mcp-remote jest podatny na wstrzykiwanie poleceń systemowych, gdy łączy się z nieufnymi serwerami MCP, z powodu spreparowanego wejścia z odpowiedzi URL authorization_endpoint.

Ocena ryzyka

Atakujący może wykorzystać tę podatność do wykonania dowolnych poleceń systemowych na serwerze, co może prowadzić do poważnych naruszeń bezpieczeństwa organizacji.

Rekomendacja

Zaleca się unikanie łączenia się z nieufnymi serwerami MCP oraz wprowadzenie filtracji i walidacji danych wejściowych w odpowiedziach URL.

Oryginalny opis (angielski, źródło NVD)

mcp-remote is exposed to OS command injection when connecting to untrusted MCP servers due to crafted input from the authorization_endpoint response URL

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS