Trung tâm
Trang chủ
Mới nhất
Hot
Thông tin chi tiết
Livestream
Tất cả
Phân tích Thị trường
Chủ đề quan trọng
Blockchain
Khác
Phòng trò chuyện
Lịch Tiền điện tử
Tin tức
Gate Blog
Thêm
Hướng dẫn cho người mới bắt đầu
Trang chủ
Mới nhất
Hot
Thông tin chi tiết
Đăng

Lỗ hổng MCP-Remote nghiêm trọng cho phép thực thi lệnh OS từ xa

BITNEWSBOTvip

HomeNews* Các nhà nghiên cứu đã phát hiện ra một lỗ hổng bảo mật nghiêm trọng trong công cụ mcp-remote cho phép kẻ tấn công thực thi các lệnh hệ thống.

  • Lỗ hổng, được gán nhãn CVE-2025-6514, nhận được điểm số CVSS cao 9.6 trên 10.
  • Kẻ tấn công có thể xâm nhập vào các máy tính chạy các phiên bản mcp-remote dễ bị tổn thương khi kết nối với các máy chủ Model Context Protocol không an toàn (MCP).
  • Vấn đề ảnh hưởng đến các phiên bản mcp-remote từ 0.0.5 đến 0.1.15 và đã được sửa trong phiên bản 0.1.16 phát hành vào ngày 17 tháng 6 năm 2025.
  • Các chuyên gia khuyến cáo người dùng cập nhật phần mềm bị ảnh hưởng và chỉ kết nối với các máy chủ MCP đáng tin cậy qua các kênh (HTTPS) an toàn. Các chuyên gia an ninh mạng đã xác định một lỗ hổng lớn trong dự án mã nguồn mở mcp-remote có thể cho phép kẻ tấn công thực thi các lệnh hệ điều hành trên các hệ thống bị ảnh hưởng. Lỗ hổng này đã được báo cáo vào ngày 10 tháng 7 năm 2025 và ảnh hưởng đến bất kỳ ai sử dụng mcp-remote để kết nối với máy chủ Model Context Protocol (MCP). Lỗ hổng này đặt người dùng vào rủi ro bị chiếm quyền kiểm soát hoàn toàn hệ thống nếu họ kết nối với một máy chủ MCP từ xa độc hại.
  • Quảng cáo - Lỗ hổng bảo mật, được biết đến với mã CVE-2025-6514, đã nhận được điểm số CVSS nghiêm trọng là 9.6 trên 10. Theo Or Peles, trưởng nhóm Nghiên cứu Lỗ hổng của JFrog, “Lỗ hổng cho phép kẻ tấn công kích hoạt thực thi lệnh OS tùy ý trên máy đang chạy mcp-remote khi nó khởi tạo kết nối đến một máy chủ MCP không đáng tin cậy, gây ra rủi ro đáng kể cho người dùng – một sự xâm phạm toàn bộ hệ thống.”

mcp-remote là một proxy cục bộ giúp các ứng dụng mô hình ngôn ngữ lớn (LLM), như Claude Desktop, giao tiếp với các máy chủ MCP từ xa thay vì chạy chúng cục bộ. Gói npm đã được tải xuống hơn 437.000 lần cho đến nay. Lỗ hổng, hiện đã được vá trong phiên bản 0.1.16, ảnh hưởng đến tất cả các phiên bản trước từ 0.0.5. Người dùng kết nối mcp-remote với các máy chủ MCP không đáng tin cậy hoặc không an toàn là có nguy cơ cao nhất.

Lỗ hổng cho phép một máy chủ độc hại nhúng một lệnh trong quá trình bắt tay ban đầu. Khi mcp-remote xử lý điều này, nó thực thi lệnh trên hệ thống cơ sở. Trên Windows, kẻ tấn công có quyền kiểm soát đầy đủ các tham số lệnh. Trên macOS và Linux, họ có thể chạy các chương trình nhưng với ít tùy chọn hơn. Các nhóm bảo mật khuyến nghị cập nhật lên phiên bản mới nhất và chỉ kết nối với các máy chủ đáng tin cậy qua HTTPS.

Nghiên cứu trước đây đã cảnh báo về những rủi ro khi các khách hàng MCP kết nối với các máy chủ nguy hiểm, nhưng đây là lần đầu tiên việc thực thi mã từ xa trên khách hàng được xác nhận trong thực tế. “Trong khi các máy chủ MCP từ xa là những công cụ rất hiệu quả để mở rộng khả năng AI trong các môi trường được quản lý… người dùng MCP cần phải chú ý chỉ kết nối với các máy chủ MCP đáng tin cậy bằng cách sử dụng các phương thức kết nối an toàn như HTTPS,” Peles cho biết.

Các lỗ hổng gần đây khác cũng đã được phát hiện trong hệ sinh thái MCP. Ví dụ, một lỗi trong MCP Inspector (CVE-2025-49596) cũng có thể cho phép thực thi mã từ xa. Hai lỗi nghiêm trọng khác đã được tìm thấy trong Máy chủ Hệ thống Tập tin MCP của Anthropic:

  • CVE-2025-53110 (CVSS 7.3): Cho phép kẻ tấn công truy cập, đọc hoặc thay đổi dữ liệu bên ngoài các thư mục được phép, gây rủi ro đánh cắp dữ liệu và gia tăng quyền hạn.
  • CVE-2025-53109 (CVSS 8.4): Cho phép kẻ tấn công sử dụng liên kết tượng trưng để truy cập vào các tệp nhạy cảm hoặc đặt mã độc để xâm phạm hệ thống.

Các lỗi máy chủ này ảnh hưởng đến tất cả các phiên bản trước 0.6.3 và 2025.7.1. Các chuyên gia an ninh cảnh báo rằng, đặc biệt khi những máy chủ này chạy với quyền hệ thống cao, nguy cơ bị xâm nhập sâu vào hệ thống càng tăng.

  • Quảng cáo - #### Các bài viết trước:
  • Tesla sẽ Mở Rộng Dịch Vụ Robotaxi ở Austin, Vùng Vịnh Cuối Tuần Này
  • BIS nhận thấy trái phiếu chính phủ token hóa cung cấp chênh lệch thị trường chặt chẽ hơn
  • DeFi Backdoor Đe Dọa $10M Khi Texture, Kinto Đối Mặt Với Các Cuộc Tấn Công
  • Hạ viện Hoa Kỳ sẽ tổ chức phiên điều trần về thuế tiền điện tử khi các dự luật tiền điện tử quan trọng tiến triển
  • Các công ty khởi nghiệp tiền điện tử giả mạo sử dụng mạng xã hội để phát tán phần mềm độc hại đánh cắp ví
  • Quảng cáo -
Xem bản gốc
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
  • Phần thưởng
  • Bình luận
  • Chia sẻ
Bình luận
0/400
Không có bình luận
  • Ghim
sơ đồ trang web
Giao dịch tiền điện tử mọi lúc mọi nơi
qrCode
Quét để tải xuống ứng dụng Gate
Cộng đồng
Tiếng Việt
  • 简体中文
  • English
  • Tiếng Việt
  • 繁體中文
  • Español
  • Русский
  • Français (Afrique)
  • Português (Portugal)
  • Bahasa Indonesia
  • 日本語
  • بالعربية
  • Українська
  • Português (Brasil)
    • Về chúng tôiCơ hội nghề nghiệpPhòng tin tứcĐối tácThoả thuận người dùngCảnh báo rủi roChính sách bảo mậtChính sách CookiePhương tiện truyền thôngBằng chứng 100% dự trữGiấy phépBảo mậtGateToken (GT)Gate ChainLịchThực thi pháp luậtHội nghị thượng đỉnhGate Ventures
    Mua coinBán coinGiao dịch giao ngayGiao dịch FuturesGiao dịch ký quỹToken đòn bẩyNFTGate PayGate LifeThẻ quà tặngGate OTCGate CharityThẻ GateGate ShopHODL & EarnVay Crypto
    Lợi ích VIPTổ chứcĐề xuất & Phản hồiThông báoTiêu chuẩn thu phíTrung tâm hỗ trợGửi yêu cầu hỗ trợĐăng ký niêm yết coinBảo mật hợp đồngTrung tâm phát triểnXác minh kênh chính thức Đăng ký thương gia P2PĐăng ký Blue V P2PChương trình Affiliate Lịch Tiền điện tửGiải pháp chuỗi chéo
    Gate LearnKhóa học về tiền điện tửThuật ngữ về tiền điện tửThị trường tiền điện tửBig DataBitcoin HalvingCrypto Wiki
    Gate © 2013-2025.