Vulnerabilidad en MCP Inspector (CVE-2025-49596)
Gravedad CVSS v4.0:
CRÍTICA
Tipo:
CWE-306
Ausencia de autenticación para una función crítica
Fecha de publicación:
13/06/2025
Última modificación:
09/07/2025
Descripción
MCP Inspector es una herramienta para desarrolladores que permite probar y depurar servidores MCP. Las versiones de MCP Inspector anteriores a la 0.14.1 son vulnerables a la ejecución remota de código debido a la falta de autenticación entre el cliente Inspector y el proxy, lo que permite que solicitudes no autenticadas ejecuten comandos MCP a través de stdio. Los usuarios deben actualizar inmediatamente a la versión 0.14.1 o posterior para solucionar estas vulnerabilidades.
Impacto
Puntuación base 4.0
9.40
Gravedad 4.0
CRÍTICA
Referencias a soluciones, herramientas e información
- https://github.com/modelcontextprotocol/inspector/commit/50df0e1ec488f3983740b4d28d2a968f12eb8979
- https://github.com/modelcontextprotocol/inspector/security/advisories/GHSA-7f8r-222p-6f5g
- https://thenewstack.io/mcp-vulnerability-exposes-the-ai-untrusted-code-crisis
- https://www.oligo.security/blog/critical-rce-vulnerability-in-anthropic-mcp-inspector-cve-2025-49596