🔥 Fique por dentro das novidades mais quentes do momento! 🔥
Leia, comente e fique sempre atualizado!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Pesquisadores de segurança cibernética descobriram uma fraqueza crítica "por design" na arquitetura do Model Context Protocol (MCP) que poderia abrir caminho para a execução remota de código e ter um efeito cascata na cadeia de suprimentos de inteligência artificial (IA).
“Essa falha permite a execução arbitrária de comandos (RCE) em qualquer sistema que execute uma implementação MCP vulnerável, concedendo aos invasores acesso direto a dados confidenciais de usuários, bancos de dados internos, chaves de API e históricos de bate-papo”, disseram os pesquisadores da OX Security Moshe Siman Tov Bustan, Mustafa Naamnih, Nir Zadok e Roni Bar em uma análise publicada na semana passada.
A empresa de segurança cibernética disse que a vulnerabilidade sistêmica está incorporada ao kit de desenvolvimento de software MCP (SDK) oficial da Anthropic em qualquer linguagem suportada, incluindo Python, TypeScript, Java e Rust. Ao todo, afeta mais de 7.000 servidores e pacotes de software acessíveis ao público, totalizando mais de 150 milhões de downloads.
Em questão estão os padrões inseguros de como a configuração do MCP funciona na interface de transporte STDIO (entrada/saída padrão), resultando na descoberta de 10 vulnerabilidades que abrangem projetos populares como LiteLLM, LangChain, LangFlow, Flowise, LettaAI e LangBot -
CVE-2025-65720 (Pesquisador GPT)
CVE-2026-30623 (LiteLLM) – corrigido
CVE-2026-30624 (Agente Zero)
CVE-2026-30618 (Estrutura Fay)
CVE-2026-33224 (Bisheng) – Remendado
CVE-2026-30617 (Langchain-Chatchat)
CVE-2026-33224 (Jaaz)
CVE-2026-30625 (Upsônico)
CVE-2026-30615 (Windsurf)
CVE-2026-26015 (DocsGPT) – corrigido
CVE-2026-40933 (Flowise)
Essas vulnerabilidades se enquadram em quatro categorias amplas, desencadeando efetivamente a execução remota de comandos no servidor -
Injeção de comando não autenticado e autenticado via MCP STDIO
Injeção de comando não autenticado via configuração STDIO direta com bypass de proteção
Injeção de comando não autenticado por meio de edição de configuração do MCP por meio de injeção de prompt de clique zero
Injeção de comandos não autenticados por meio de mercados MCP por meio de solicitações de rede, acionando configurações STDIO ocultas
“O Model Context Protocol da Anthropic oferece uma execução direta de configuração para comando por meio de sua interface STDIO em todas as suas implementações, independentemente da linguagem de programação”, explicaram os pesquisadores.
"Como esse código foi criado para ser usado para iniciar um servidor STDIO local e fornecer um identificador do STDIO de volta ao LLM. Mas, na prática, ele realmente permite que qualquer pessoa execute qualquer comando arbitrário do sistema operacional, se o comando criar com êxito um servidor STDIO, ele retornará o identificador, mas quando receber um comando diferente, ele retornará um erro após o comando ser executado. "
Curiosamente, vulnerabilidades baseadas no mesmo problema central foram relatadas de forma independente durante o ano passado. Eles incluem CVE-2025-49596 (MCP Inspector), LibreChat (CVE-2026-22252), WeKnora (CVE-2026-22688), @akoskm/create-mcp-server-stdio (CVE-2025-54994) e Cursor (CVE-2025-54136).
A Anthropic, no entanto, se recusou a modificar a arquitetura do protocolo, citando o comportamento como “esperado. Embora alguns dos fornecedores tenham emitido patches, a deficiência permanece sem solução na implementação de referência MCP da Anthropic, fazendo com que os desenvolvedores herdem os riscos de execução do código.
As descobertas destacam como as integrações alimentadas por IA podem expandir inadvertidamente a superfície de ataque. Para combater a ameaça, é aconselhável bloquear o acesso IP público a serviços confidenciais, monitorar invocações de ferramentas MCP, executar serviços habilitados para MCP em uma sandbox, tratar a entrada de configuração externa do MCP como não confiável e instalar apenas servidores MCP de fontes verificadas.
“O que tornou isso um evento da cadeia de suprimentos, em vez de um único CVE, foi que uma decisão arquitetônica, tomada uma vez, se propagou silenciosamente em todas as linguagens, todas as bibliotecas downstream e todos os projetos que confiavam no protocolo para ser o que parecia ser”, disse a OX Security. “Transferir a responsabilidade para os implementadores não transfere o risco. Isso apenas obscurece quem o criou."
“Essa falha permite a execução arbitrária de comandos (RCE) em qualquer sistema que execute uma implementação MCP vulnerável, concedendo aos invasores acesso direto a dados confidenciais de usuários, bancos de dados internos, chaves de API e históricos de bate-papo”, disseram os pesquisadores da OX Security Moshe Siman Tov Bustan, Mustafa Naamnih, Nir Zadok e Roni Bar em uma análise publicada na semana passada.
A empresa de segurança cibernética disse que a vulnerabilidade sistêmica está incorporada ao kit de desenvolvimento de software MCP (SDK) oficial da Anthropic em qualquer linguagem suportada, incluindo Python, TypeScript, Java e Rust. Ao todo, afeta mais de 7.000 servidores e pacotes de software acessíveis ao público, totalizando mais de 150 milhões de downloads.
Em questão estão os padrões inseguros de como a configuração do MCP funciona na interface de transporte STDIO (entrada/saída padrão), resultando na descoberta de 10 vulnerabilidades que abrangem projetos populares como LiteLLM, LangChain, LangFlow, Flowise, LettaAI e LangBot -
CVE-2025-65720 (Pesquisador GPT)
CVE-2026-30623 (LiteLLM) – corrigido
CVE-2026-30624 (Agente Zero)
CVE-2026-30618 (Estrutura Fay)
CVE-2026-33224 (Bisheng) – Remendado
CVE-2026-30617 (Langchain-Chatchat)
CVE-2026-33224 (Jaaz)
CVE-2026-30625 (Upsônico)
CVE-2026-30615 (Windsurf)
CVE-2026-26015 (DocsGPT) – corrigido
CVE-2026-40933 (Flowise)
Essas vulnerabilidades se enquadram em quatro categorias amplas, desencadeando efetivamente a execução remota de comandos no servidor -
Injeção de comando não autenticado e autenticado via MCP STDIO
Injeção de comando não autenticado via configuração STDIO direta com bypass de proteção
Injeção de comando não autenticado por meio de edição de configuração do MCP por meio de injeção de prompt de clique zero
Injeção de comandos não autenticados por meio de mercados MCP por meio de solicitações de rede, acionando configurações STDIO ocultas
“O Model Context Protocol da Anthropic oferece uma execução direta de configuração para comando por meio de sua interface STDIO em todas as suas implementações, independentemente da linguagem de programação”, explicaram os pesquisadores.
"Como esse código foi criado para ser usado para iniciar um servidor STDIO local e fornecer um identificador do STDIO de volta ao LLM. Mas, na prática, ele realmente permite que qualquer pessoa execute qualquer comando arbitrário do sistema operacional, se o comando criar com êxito um servidor STDIO, ele retornará o identificador, mas quando receber um comando diferente, ele retornará um erro após o comando ser executado. "
Curiosamente, vulnerabilidades baseadas no mesmo problema central foram relatadas de forma independente durante o ano passado. Eles incluem CVE-2025-49596 (MCP Inspector), LibreChat (CVE-2026-22252), WeKnora (CVE-2026-22688), @akoskm/create-mcp-server-stdio (CVE-2025-54994) e Cursor (CVE-2025-54136).
A Anthropic, no entanto, se recusou a modificar a arquitetura do protocolo, citando o comportamento como “esperado. Embora alguns dos fornecedores tenham emitido patches, a deficiência permanece sem solução na implementação de referência MCP da Anthropic, fazendo com que os desenvolvedores herdem os riscos de execução do código.
As descobertas destacam como as integrações alimentadas por IA podem expandir inadvertidamente a superfície de ataque. Para combater a ameaça, é aconselhável bloquear o acesso IP público a serviços confidenciais, monitorar invocações de ferramentas MCP, executar serviços habilitados para MCP em uma sandbox, tratar a entrada de configuração externa do MCP como não confiável e instalar apenas servidores MCP de fontes verificadas.
“O que tornou isso um evento da cadeia de suprimentos, em vez de um único CVE, foi que uma decisão arquitetônica, tomada uma vez, se propagou silenciosamente em todas as linguagens, todas as bibliotecas downstream e todos os projetos que confiavam no protocolo para ser o que parecia ser”, disse a OX Security. “Transferir a responsabilidade para os implementadores não transfere o risco. Isso apenas obscurece quem o criou."
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #vulnerabilidade #de #projeto #antrópico #de #mcp #permite #rce, #ameaçando #a #cadeia #de #suprimentos #de #ia
🔔 Siga-nos para não perder nenhuma atualização!
Postar um comentário