CVE-2025-49596 MCP检查器出现高危安全漏洞

信息安全 来源：蓝点网 2025-07-03 06:06:29 阅读：22

MCP 是人工智能公司 Anthropic 开源的协议，借助该协议开发者可以将人工智能连接多个外部数据源以获取更准确的数据并给出更有针对性的回答，目前已经有不少 AI 服务都已经支持 MCP 协议。

如果开发者要调试 MCP 协议则需要使用 Anthropic 开源的 MCP Inspector 检查器，这个检查器主要用于测试和调试 MCP 服务器，其用户群也主要都是开发者们。

网络安全研究公司 OLIGO 在 MCP 检查器中发现高危安全漏洞，借助该漏洞攻击者可以远程执行任意代码并在开发者机器上获得完全访问权，漏洞编号 CVE-2025-49596，漏洞评分高达 9.4 分。

MCP 检查器中的致命弱点：

MCP 通信框架旨在连接 AI 代理和工具并促进实时协作和操作，MCP 服务器通过 API 实现系统间的交互，MCP Inspector 检查器则是调试工具，包含两个核心组件：

MCP Inspector Client：基于 React 的 Web 界面，主要用于测试和调试 MCP 服务器

MCP Proxy：基于 Node.js 的协议桥，连接 Web 界面和 MCP 服务器，支持多种传输方式

研究人员发现 MCP 检查器的默认配置存在严重安全隐患，工具通过执行 mcp dev 命令后运行并默认启动 HTTP 服务器和监听 6277 端口，但这个 HTTP 服务器没有必要的身份验证和加密措施。

当受害者访问特制的恶意网站时，攻击者可以通过浏览器向本地 MCP 服务器发送恶意请求，利用 0.0.0.0/127.0.0.1 发送请求或 DNS 重绑定，触发任意代码执行，进而窃取数据、植入后门或在内网中横向移动。

此次发现的漏洞主要涉及 MCP 检查器的 SSE 端点，攻击者可以通过跨站请求伪造 (CSRF) 触发远程代码执行，下面是典型的攻击示例：

<script> fetch ("http://0.0.0.0:6277/sse?transportType=stdio&command=touch&args=%2Ftmp%2Fexploited-from-the-browser", {     "headers": {         "accept": "*/*",         "accept-language": "en-US,en;q=0.9",         "cache-control": "no-cache",         "pragma": "no-cache"     },     "referrer": "http://127.0.0.1:6274/",     "referrerPolicy": "strict-origin-when-cross-origin",     "body": null,     "method": "GET",     "mode": "no-cors",     "credentials": "omit" }) </script>

这个攻击示例通过 0.0.0.0:6277 向 MCP 检查器发送请求并触发 touch /tmp/exploited-from-the-browser 命令并在目标设备上创建文件，攻击者还可以执行更危险的命令，例如打开反向 Shell 并获取设备的完整控制权。

若利用 DNS 重绑定技术则可以通过恶意 DNS 请求重定向到 0.0.0.0:6277 或 127.0.0.1:6277 并扩大攻击范围，更糟糕的是部分 MCP 检查器实例还直接暴露在公网上，其独特的指纹响应可以让攻击者轻松定位目标并实施远程代码执行。

获取新版本：

目前 Anthropic 已经发布 MCP 检查器 0.14.1 版修复该漏洞并更新相关文档，强调服务器不应该暴露在不受信任的网络中，官方建议开发者仅在 localhost 上运行 MCP 检查器避免将其暴露在公网或局域网。

现有的 MCP 检查器实例必须手动更新到最新版本，具体可以通过以下命令检查和更新：

~/ npm list -g  ├── @modelcontextprotocol/inspector@0.10.0  ~/ npm install -g "@modelcontextprotocol/inspector@^0.14.1"