SAFE. Guía para proteger tu vida digital y tu privacidad
Canal de Telegram

22 abr 2026

Segu-Info » , » Vulnerabilidad "previsible" en el diseño en Anthropic permite la ejecución remota de código (RCE)

Vulnerabilidad "previsible" en el diseño en Anthropic permite la ejecución remota de código (RCE)

22 abr 2026, 9:06:00 a.m.   Comenta primero!
  ,  

Investigadores de ciberseguridad han descubierto una vulnerabilidad crítica, intencionada, en la arquitectura del Protocolo de Contexto de Modelo (MCP) que podría facilitar la ejecución remota de código y tener un efecto en cascada en la cadena de suministro de inteligencia artificial (IA).

"Esta vulnerabilidad permite la ejecución arbitraria de comandos (RCE) en cualquier sistema que ejecute una implementación vulnerable de MCP, otorgando a los atacantes acceso directo a datos confidenciales de usuarios, bases de datos internas, claves API e historiales de chat", afirmaron los investigadores de OX Security, Moshe Siman Tov Bustan, Mustafa Naamnih, Nir Zadok y Roni Bar, en un análisis publicado la semana pasada.

La empresa de ciberseguridad indicó que la vulnerabilidad sistémica está integrada en el kit de desarrollo de software (SDK) oficial de MCP de Anthropic para cualquier lenguaje compatible, incluidos Python, TypeScript, Java y Rust. En total, afecta a más de 7.000 servidores y paquetes de software de acceso público, con más de 150 millones de descargas.

El problema radica en la configuración predeterminada insegura del funcionamiento de MCP a través de la interfaz de transporte STDIO (entrada/salida estándar), lo que ha dado lugar al descubrimiento de 10 vulnerabilidades que afectan a proyectos populares como LiteLLM, LangChain, LangFlow, Flowise, LettaAI y LangBot.

  • CVE-2025-65720 (GPT Researcher)
  • CVE-2026-30623 (LiteLLM) - Patched
  • CVE-2026-30624 (Agent Zero)
  • CVE-2026-30618 (Fay Framework)
  • CVE-2026-33224 (Bisheng) - Patched
  • CVE-2026-30617 (Langchain-Chatchat)
  • CVE-2026-33224 (Jaaz)
  • CVE-2026-30625 (Upsonic)
  • CVE-2026-30615 (Windsurf)
  • CVE-2026-26015 (DocsGPT) - Patched
  • CVE-2026-40933 (Flowise)

Estas vulnerabilidades se dividen en cuatro categorías principales, que permiten la ejecución remota de comandos en el servidor:

  • Inyección de comandos autenticados y no autenticados a través de MCP STDIO
  • Inyección de comandos no autenticados mediante configuración directa de STDIO con omisión de medidas de seguridad
  • Inyección de comandos no autenticados mediante edición de configuración de MCP a través de inyección de mensajes sin clics
  • Inyección de comandos no autenticados a través de los mercados de MCP mediante solicitudes de red, lo que activa configuraciones ocultas de STDIO

"El Protocolo de Contexto de Modelo de Anthropic permite la ejecución directa de comandos a través de su interfaz STDIO en todas sus implementaciones, independientemente del lenguaje de programación", explicaron los investigadores. "Este código estaba diseñado para iniciar un servidor STDIO local y devolver un identificador de STDIO al LLM. Sin embargo, en la práctica, permite ejecutar cualquier comando arbitrario del sistema operativo. Si el comando crea correctamente un servidor STDIO, devuelve el identificador; pero si se le proporciona un comando diferente, devuelve un error tras su ejecución."

Curiosamente, durante el último año se han reportado de forma independiente vulnerabilidades basadas en el mismo problema central. Entre ellas se incluyen CVE-2025-49596 (MCP Inspector), CVE-2026-22252 (LibreChat), CVE-2026-22688 (WeKnora), CVE-2025-54994 (@akoskm/create-mcp-server-stdio) y CVE-2025-54136 (Cursor).

Anthropic, sin embargo, se ha negado a modificar la arquitectura del protocolo, alegando que el comportamiento era "previsible". Si bien algunos proveedores han publicado parches, la deficiencia persiste en la implementación de referencia de MCP de Anthropic, lo que provoca que los desarrolladores hereden los riesgos de ejecución de código.

Los hallazgos ponen de manifiesto cómo las integraciones basadas en IA pueden ampliar inadvertidamente la superficie de ataque. Para contrarrestar la amenaza, se recomienda bloquear el acceso a servicios mediante IP pública, monitorizar las invocaciones de herramientas MCP, ejecutar los servicios habilitados para MCP en un entorno aislado, considerar la entrada de configuración externa de MCP como no confiable e instalar servidores MCP únicamente desde fuentes verificadas.

"Lo que convirtió esto en un evento de la cadena de suministro, en lugar de una única vulnerabilidad CVE, es que una decisión arquitectónica, tomada una sola vez, se propagó silenciosamente a todos los lenguajes, todas las bibliotecas derivadas y todos los proyectos que confiaron en que el protocolo fuera lo que parecía ser", afirmó OX Security. "Trasladar la responsabilidad a los implementadores no transfiere el riesgo. Simplemente oculta quién lo creó".

Fuente: THN



Suscríbete a nuestro Boletín

0 Comments:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!