Een ernstige kwetsbaarheid in het open-sourceproject mcp-remote is onlangs ontdekt door het securityteam van JFrog.Â
De bug, geregistreerd als CVE-2025-6514, maakt het mogelijk voor een aanvaller om willekeurige besturingssysteemcommando’s uit te voeren op de machine waarop mcp-remote draait, zodra deze verbinding maakt met een onbetrouwbare MCP-server. Daarmee is sprake van volledige remote code execution op de client, een scenario dat tot nu toe alleen theoretisch werd besproken binnen de MCP-community.
Mcp-remote is ontworpen om LLM-hosts te laten communiceren met externe MCP-servers, zelfs als die normaal gesproken alleen lokale communicatie ondersteunen. Volgens JFrog-onderzoeker Or Peles is dit de eerste keer dat in een praktijksituatie een aanval vanuit een MCP-server op een client succesvol is uitgevoerd. Eerder werd al gewezen op het risico van verbindingen tussen MCP-clients en kwaadaardige servers, maar deze kwetsbaarheid maakt dat risico concreet.
Voorzorgsmaatregelen van belang
Gebruikers van mcp-remote worden geadviseerd om te updaten naar versie 0.1.16. Tegelijkertijd benadrukt JFrog het belang van voorzorgsmaatregelen zoals het gebruik van veilige verbindingsmethoden en het uitsluitend verbinden met vertrouwde MCP-servers.
De ontdekking staat niet op zichzelf. Eerder werden ook kwetsbaarheden gemeld in gerelateerde MCP-projecten, waaronder een fout in MCP Inspector die externe code-uitvoering mogelijk maakte, een commando-injectiekwetsbaarheid in de Kubernetes-implementatie van MCP Server en een validatiefout in de MCP Python SDK. Hoewel al deze fouten inmiddels zijn verholpen, wijst de opeenstapeling op bredere structurele uitdagingen in het ecosysteem.
Aanvalstechnieken eenvoudig toepasbaar
Volgens Peles is de snelle adoptie van MCP mede debet aan het gebrek aan standaardisatie op het gebied van beveiliging. Veelgebruikte aanvalstechnieken zoals token-doorschuiving, sessiekaping en het confused deputy-probleem kunnen relatief eenvoudig worden toegepast als implementaties geen duidelijke grenzen stellen aan vertrouwen en toegangscontrole. Hij stelt dat het essentieel is om servers binnen gescheiden vertrouwensdomeinen te implementeren, bijvoorbeeld door gevoelige en onbetrouwbare data strikt te scheiden.
De huidige situatie doet denken aan eerdere technologische verschuivingen zoals de opkomst van microservices en API’s, waarbij ook aanvankelijk bekende kwetsbaarheden opnieuw opduiken in een nieuwe vorm. MCP bevindt zich op een vergelijkbaar punt in zijn ontwikkeling. Teruggaan is volgens Peles geen optie meer. De enige weg vooruit is om beveiliging vanaf nu centraal te stellen in het ontwerp en de implementatie van alles wat met MCP te maken heeft.