Vulnerabilidad en iOS Simulator MCP Server (CVE-2025-52573)

iOS Simulator MCP Server (ios-simulator-mcp) es un servidor de protocolo de contexto de modelo (MCP) para interactuar con simuladores de iOS. Las versiones anteriores a la 1.3.3 están escritas de forma vulnerable a ataques de vulnerabilidad de inyección de comandos como parte de la definición e implementación de la herramienta del servidor MCP. El servidor MCP expone la herramienta `ui_tap`, que se basa en la API `exec` del proceso secundario de Node.js, que es una API insegura y vulnerable si se concatena con entradas de usuario no confiables. La entrada de usuario expuesta por LLM para los argumentos `duration`, `udid` y `x` e `y` se puede reemplazar con metacaracteres de shell como `;` o `&&` u otros para cambiar el comportamiento de ejecutar el comando esperado `idb` a otro comando. Cuando se engaña a los LLM mediante la inyección de prompt (y otras técnicas y vectores de ataque) para llamar a la herramienta con una entrada que usa caracteres de shell especiales como `;` rm -rf /tmp;#` y otras variaciones del payload, el texto completo de la línea de comandos será interpretado por el shell y provocará la ejecución de otros comandos, excepto `ps`, en el host que ejecuta el servidor MCP. La versión 1.3.3 incluye un parche para este problema.