Siber güvenlik araştırmacıları, yapay zeka (AI) şirketi Antropic’in Model Bağlam Protokolü (MCP) Müfettiş projesinde, uzaktan kod yürütme (RCE) ile sonuçlanabilecek ve bir saldırganın ana bilgisayarlara tam erişim kazanmasına izin verebilecek kritik bir güvenlik açığı keşfettiler.
CVE-2025-49596 olarak izlenen güvenlik açığı, maksimum 10.0 üzerinden 9.4 CVSS skoru taşır.
Oligo Security’den Avi Lumelsky, geçen hafta yayınlanan bir raporda, “Bu, AI geliştirici araçlarına karşı yeni bir tarayıcı tabanlı saldırı sınıfı ortaya koyan Antropic’in MCP ekosistemindeki ilk kritik RCE’lerden biri.” Dedi.
“Bir geliştiricinin makinesinde kod yürütme ile saldırganlar veri çalabilir, backdoors yükleyebilir ve ağlar boyunca yanal olarak hareket edebilir – AI ekipleri, açık kaynak projeleri ve MCP’ye dayanan işletme benimseyenler için ciddi riskleri vurgulayabilir.”
Antropic tarafından Kasım 2024’te tanıtılan MCP, büyük dil modeli (LLM) uygulamalarının harici veri kaynakları ve araçlarıyla verileri entegre etme ve paylaşma şeklini standartlaştıran açık bir protokoldür.
MCP Müfettişi, Protokol aracılığıyla belirli yetenekleri ortaya çıkaran ve bir AI sisteminin eğitim verilerinin ötesinde bilgilere erişmesine ve etkileşime girmesine izin veren MCP sunucularını test etmek ve hata ayıklamak için bir geliştirici aracıdır.
İki bileşen içerir, test ve hata ayıklama için etkileşimli bir arayüz sağlayan bir istemci ve Web kullanıcı arayüzünü farklı MCP sunucularına köprüleyen bir proxy sunucusu.
Bununla birlikte, akılda tutulması gereken önemli bir güvenlik hususu, sunucunun yerel işlemleri ortaya çıkarma izni olduğu ve belirli herhangi bir MCP sunucusuna bağlanabildiği için güvenilmeyen bir ağa maruz kalmaması gerektiğidir.
Bu yön, varsayılan ayar geliştiricilerinin aracın yerel bir sürümünü döndürmek için kullandıkları gerçeği ile birlikte, eksik kimlik doğrulama ve şifreleme gibi “önemli” güvenlik riskleri ile birlikte, Oligo’ya göre yeni bir saldırı yolu açar.
Lumelsky, “Bu yanlış yapılandırma, yerel ağa veya genel internete erişimi olan herkes potansiyel olarak bu sunucularla etkileşime girebileceğinden ve bu sunuculardan yararlanabileceğinden önemli bir saldırı yüzeyi yaratıyor.” Dedi.
Saldırı, 0.0.0.0 gün olarak adlandırılan modern web tarayıcılarını etkileyen bilinen bir güvenlik kusurunu zincirleyerek, Müfettişte (CVE-2025-49596), sadece kötü niyetli bir web sitesini ziyaret ettikten sonra ev sahibinde keyfi kod çalıştırmak için bir saha arası talep (CSRF) güvenlik açığı ile oynar.
CVE-2025-49596 tarihli bir danışmada, “MCP Müfettişinin 0.14.1’in altındaki sürümleri, Müfettiş Müşteri ve Proxy arasında kimlik doğrulama eksikliği nedeniyle uzaktan kod yürütülmesine karşı savunmasızdır.”
0.0.0.0 Gün, modern web tarayıcılarında kötü amaçlı web sitelerinin yerel ağları ihlal etmesini sağlayabilecek 19 yaşındaki bir güvenlik açığıdır. Tarayıcıların IP adresini 0.0.0.0’a güvenli bir şekilde işleyememesinden yararlanarak kod yürütülmesine yol açar.
Lumelsky, “Saldırganlar, bir MCP sunucusunda çalışan Localhost hizmetlerine istek gönderen kötü amaçlı bir web sitesi hazırlayarak bu kusuru kullanabilir, böylece bir geliştiricinin makinesinde keyfi komutlar yürütme yeteneği kazanabilir.”
“Varsayılan yapılandırmaların MCP sunucularını bu tür saldırılara maruz bırakması, birçok geliştiricinin yanlışlıkla makinelerine bir arka kapı açabileceği anlamına geliyor.”
Özellikle, konsept kanıtı (POC), LocalHost’ta (127.0.0.1) dinlerken bile aracı çalıştıran makinede RCE’yi elde etmek için saldırgan kontrollü bir web sitesinden kötü niyetli bir istek göndermek için sunucu tarafından satılan olayları (SSE) uç noktadan kullanır.
Bu çalışır, çünkü IP adresi 0.0.0.0, işletim sistemine yerel geri döngü arayüzü (yani LocalHost) dahil olmak üzere makineye atanan tüm IP adreslerini dinlemesini söyler.
Varsayımsal bir saldırı senaryosunda, bir saldırgan sahte bir web sayfası oluşturabilir ve bir geliştiriciyi ziyaret etmeye kandırabilir, bu noktada, sayfaya gömülü kötü amaçlı JavaScript 0.0.0.0:6277’ye (Proxy’nin çalıştığı varsayılan bağlantı noktası) bir istek gönderir ve MCP müfettiş Proxy sunucusunu hakem komutanlığını yürütmek için.
Saldırı ayrıca, güvenlik kontrollerini atlamak ve RCE ayrıcalıkları kazanmak için 0.0.0.0:6277 veya 127.0.0.1:6277’ye işaret eden sahte bir DNS kaydı oluşturmak için DNS yeniden oluşturma tekniklerinden de yararlanabilir.
Nisan 2025’te sorumlu açıklamanın ardından, güvenlik açığı 13 Haziran’da proje koruyucuları tarafından 0.14.1 sürümünün yayınlanmasıyla ele alındı. Düzeltmeler proxy sunucusuna bir oturum jetonu ekler ve saldırı vektörünü tamamen takmak için orijinal doğrulama ekler.
Oligo, “Localhost hizmetleri güvenli görünebilir, ancak tarayıcılardaki ve MCP istemcilerindeki ağ yönlendirme özellikleri nedeniyle genellikle genel internete maruz kalır.” Dedi.
“Azaltma, düzeltmeden önce varsayılan olarak eksik olan yetkilendirme ve HTTP’deki ana bilgisayar ve menşe başlıklarını doğrulamanın yanı sıra, müşterinin bilinen, güvenilir bir alandan gerçekten ziyaret ettiğinden emin olarak. Şimdi, varsayılan olarak, sunucu DNS Rebinding ve CSRF saldırılarını engeller.”