BDU:2025-09370

Опубликовано: 26 мар. 2025

Источник: fstec

CVSS3: 9.6

CVSS2: 10

EPSS Низкий

Описание

Уязвимость команды mcp dev инструмента для тестирования и отладки MCP-серверов MCP Inspector связана с отсутствием аутентификации для критичной функции. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, осуществить CSRF-атаку

Вендор

Сообщество свободного программного обеспечения

Наименование ПО

MCP Inspector

Версия ПО

до 0.14.1 (MCP Inspector)

Тип ПО

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Уровень опасности уязвимости

Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)

Критический уровень опасности (базовая оценка CVSS 3.1 составляет 9,6)

Критический уровень опасности (оценка CVSS 4.0 составляет 9,4)

Возможные меры по устранению уязвимости

Использование рекомендаций производителя:

https://github.com/modelcontextprotocol/inspector/releases/tag/0.14.1

https://github.com/modelcontextprotocol/inspector/commit/50df0e1ec488f3983740b4d28d2a968f12eb8979

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2025-49596
CVE

EPSS

Процентиль: 45%

0.00222

Низкий

9.6 Critical

CVSS3

10 Critical

CVSS2

Связанные уязвимости

CVE-2025-49596

nvd

2 месяца назад

The MCP inspector is a developer tool for testing and debugging MCP servers. Versions of MCP Inspector below 0.14.1 are vulnerable to remote code execution due to lack of authentication between the Inspector client and proxy, allowing unauthenticated requests to launch MCP commands over stdio. Users should immediately upgrade to version 0.14.1 or later to address these vulnerabilities.

GHSA-7f8r-222p-6f5g

github