Siber güvenlik araştırmacıları, açık kaynaklı MCP-Remote projesinde keyfi işletim sistemi (OS) komutlarının yürütülmesine neden olabilecek kritik bir güvenlik açığı keşfettiler.
Güvenlik açığı, CVE-2025-651410.0 üzerinden 9.6 CVSS puanı taşır.
“Güvenlik açığı, saldırganların MCP-Remote’u çalıştıran makinede güvenilmeyen bir MCP sunucusuna bağlantı başlattığında, kullanıcılar için önemli bir risk oluşturduğunda-tam bir sistem uzlaşması-” veya Peles, JFrog Güvenlik Araştırma Araştırma Ekibi Lideri, “”
MCP-Remote, Antropic’in büyük dil modeli (LLM) uygulamalarının dış veri kaynakları ve hizmetleriyle verileri entegre etme ve paylaşma şeklini standartlaştıran açık kaynaklı bir çerçeve olan Model Bağlam Protokolü’nü (MCP) yayınlamasının ardından ortaya çıkan bir araçtır.
Yerel bir proxy görevi görür ve Claude Desktop gibi MCP istemcilerinin LLM uygulamasıyla aynı makinede yerel olarak çalıştırmanın aksine, uzak MCP sunucularıyla iletişim kurmasını sağlar. NPM paketi bugüne kadar 437.000’den fazla indirildi.
Güvenlik açığı MCP-Remote sürümlerini 0.0.5 ila 0.1.15 arasında etkiler. 17 Haziran 2025’te piyasaya sürülen 0.1.16 sürümünde ele alınmıştır. Etkilenen bir sürümü kullanarak güvenilmeyen veya güvensiz bir MCP sunucusuna bağlanan MCP-Remote kullanan herkes risk altındadır.
Peles, “Daha önce yayınlanmış araştırmalar, kötü amaçlı MCP sunucularına bağlanan MCP istemcilerinden riskler gösterse de, güvensiz bir uzaktan MCP sunucusuna bağlanırken müşteri işletim sisteminde gerçek dünya senaryosunda ilk kez tam uzaktan kod yürütülmesi sağlandı.” Dedi.
Keskin, bir tehdit oyuncusu tarafından işletilen kötü amaçlı bir MCP sunucusunun, MCP-Remote tarafından işlendiğinde, temel işletim sisteminde yürütülmesine neden olan ilk iletişim kuruluşu ve yetkilendirme aşaması sırasında bir komuta nasıl yerleştirilebileceği ile ilgilidir.
Sorun, tam parametre kontrolüne sahip Windows’da keyfi OS komutu yürütülmesine yol açarken, macOS ve Linux sistemleri üzerinde sınırlı parametre kontrolü olan keyfi yürütülebilir ürünlerin yürütülmesine neden olur.
Kusurun ortaya koyduğu riski azaltmak için kullanıcılara kütüphaneyi en son sürüme güncellemeleri ve yalnızca HTTPS üzerinden güvenilir MCP sunucularına bağlanmaları tavsiye edilir.
Peles, “Uzak MCP sunucuları, yönetilen ortamlardaki AI özelliklerini genişletmek, kodun hızlı yinelemesini kolaylaştırmak ve yazılımın daha güvenilir bir şekilde sunulmasına yardımcı olmak için oldukça etkili araçlar olsa da, MCP kullanıcılarının yalnızca HTTP’ler gibi güvenli bağlantı yöntemlerini kullanarak güvenilir MCP sunucularına bağlanmaya dikkat etmeleri gerekiyor.”
“Aksi takdirde, CVE-2025-6514 gibi güvenlik açıklarının, sürekli büyüyen MCP ekosisteminde MCP istemcilerini ele geçirmesi muhtemeldir.”
Açıklama, Oligo Security’nin MCP Müfettiş Aracı’nda (CVE-2025-49596, CVSS puanı: 9.4) uzaktan kod yürütülmesine yol açabilecek kritik bir güvenlik açığı detaylandırmasından sonra geliyor.
Bu ayın başlarında, Antropic’in dosya sistemi MCP sunucusunda, saldırganların sunucunun sanal alanından çıkmasına, ana bilgisayardaki herhangi bir dosyayı manipüle etmesine ve kod yürütülmesine izin verebilecek diğer iki yüksek şiddetli güvenlik kusuru ortaya çıkarıldı.
Cymulate başına iki kusur aşağıda listelenmiştir –
- CVE-2025-53110 (CVSS Puanı: 7.3) – Diğer dizinlerde izin verilen dizin önekini kullanarak onaylanmış dizinin (örneğin, “/private/tmp/izin ver”) dışına erişmeyi, okumayı veya yazmayı mümkün kılan bir dizin sınırlama baypası, kapı verilerini açmaya çalışarak) açılır.
- CVE-2025-53109 (CVSS Puanı: 8.4) – Dosya sistemindeki herhangi bir dosyayı izin verilen dizin içinden işaret etmek için kullanılabilecek kötü hata işlemesinden kaynaklanan sembolik bir bağlantı (aka Symlink) baypas, bir saldırganın kritik dosyaları (örneğin, “/vb.
Her iki eksiklik de, ilgili düzeltmeleri içeren 0.6.3 ve 2025.7.1’den önceki tüm dosya sistemi MCP sunucu sürümlerini etkiler.
Güvenlik araştırmacısı Elad Beber, CVE-2025-53110 hakkında “Bu güvenlik açığı, dosya sistemi MCP sunucuları güvenlik modelinin ciddi bir ihlalidir.” Dedi. “Saldırganlar, izin verilen kapsam dışındaki dizinlere listeleyerek, okuyarak veya yazarak, potansiyel olarak kimlik bilgileri veya yapılandırmalar gibi hassas dosyaları ortaya çıkararak yetkisiz erişim kazanabilirler.”
“Daha da kötüsü, sunucunun ayrıcalıklı bir kullanıcı olarak çalıştığı kurulumlarda, bu kusur ayrıcalık artışına yol açabilir ve saldırganların kritik sistem dosyalarını manipüle etmesine ve ana bilgisayar sistem üzerinde daha derin kontrol kazanmasına izin verebilir.”