20225/07/02 CyberSecurityNews — Anthropic の MCP Inspector ツールに、深刻なリモート・コード実行 (RCE) の脆弱性 CVE-2025-49596 (CVSS:9.4) が発見された。Anthropic の Model Context Protocol (MCP) エコシステムで初めて確認された、この脆弱性は、ブラウザ・ベースの攻撃を許すものであり、AI に携わる開発者や組織に対して深刻なサイバー脅威をもたらすものだとされる。
概要
- 脆弱性 CVE-2025-49596 が影響を及ぼす範囲は、MCP Inspector のバージョン 0.14.1 未満である。
- CSRF 攻撃や 0.0.0.0-day 脆弱性を悪用する Web サイトは、被害者のマシン上でのコード実行の機会を手にする。
- この脆弱性は、MCP ツールを使用する開発者を脅かし、データ窃取やシステム侵害を引き起こすものだ。
- 開発者にとって必要なことは、以下のコマンドを使用して、MCP Inspector のバージョン 0.14.1 以降へアップグレードすることだ。
npm install -g "@modelcontextprotocol/inspector@^0.14.1"
Anthropic の MCP Inspector RCE 脆弱性
2025年3月の時点で、この脆弱性は外部の研究者から報告され、その後の 2025年4月の時点で、Oligo Security Research から Anthropic へと正式に通知された。
この脆弱性の影響が及ぶ範囲は、MCP Inspector のバージョン 0.14.1 未満であり、悪意の Web サイトに被害者をアクセスさせる攻撃者は、開発者マシン上で任意のコードを実行できる。
MCP Inspector は、Anthropic の公式デバッグツールであり、React ベースの Web インターフェイスである MCP Inspector Client (MCPI) と、Web UI と MCP サーバ間の通信を中継する Node.js サーバ MCP Proxy (MCPP) の、2コンポーネントで構成されている。
公式クイック・スタート・ドキュメントに従って、開発者が mcp dev コマンドを実行すると、適切な認証メカニズムを欠いたデフォルト・コンフィグでツールが起動し、大きな攻撃対象領域が形成されていく。
この脆弱性を悪用する攻撃者が、主として標的とするのは AI 開発者であり、エージェントとツールの間の通信に MCP を利用する組織である。Microsoft や Google といったテクノロジー大手も、MCP 関連技術への依存を高めているため、脆弱なインスペクター・ツールを実行するシステムに、影響が生じる可能性がある。
この攻撃が用いる組み合わせは、CSRF の脆弱性と、Chrome や Firefox が 19年間にわたり修正できていない 0.0.0.0-day 脆弱性である。
stdio トランスポート・メカニズムを悪用する攻撃者は、MCP Inspector の /sse エンド・ポイントを対象として、悪意の JavaScript ペイロードを作成できる。
典型的な攻撃用 URL は以下のとおりである:http://0.0.0.0:6277/sse?transportType=stdio&command=touch&args=%2Ftmp%2Fexploited-from-the-browser
この URL を通じて、攻撃者はリモートからのシステム・コマンドの実行を達成する。
Web サイト/ブログ記事などのオンライン・コンテンツに、この種の悪意のコードが埋め込まれる可能性があるため、技術系コンテンツを頻繁に閲覧する開発者にとって、この攻撃ベクターはきわめて危険なものとなる。
“0.0.0.0” IP アドレスのバイパスにより、悪意の Web サイトは localhost サービスとの通信を達成し、従来からのブラウザ・セキュリティ制御を回避する。その結果として、攻撃者は被害者マシンへの完全なアクセスを取得し、機密データの窃取/バックドアのインストールに加えて、ネットワーク内での横方向への移動などの機会を手にする。
| Risk Factors | Details |
| Affected Products | Anthropic MCP Inspector versions < 0.14.1 |
| Impact | Remote Code Execution (RCE), arbitrary command execution |
| Exploit Prerequisites | Victim running vulnerable MCP Inspector tool and visiting malicious website containing crafted JavaScript payload |
| CVSS 3.1 Score | 9.4 (Critical) |
緩和策
すでに Anthropic は、バージョン 0.14.1 において Jupyter Notebook に似たセッション・トークン認証を導入し、この脆弱性を修正している。さらに、この修正においては、CSRF 攻撃や DNS リバインディングを防止するための、認証メカニズムおよびオリジン検証が取り込まれているという。
開発者にとって必要なことは、以下のコマンドによる、速やかなアップグレードである:npm install -g "@modelcontextprotocol/inspector@^0.14.1"
現時点で使用しているバージョンを確認するには、npm list -g を使用する。さらに必要になるのは、node_modules ディレクトリ内のグローバル・インストールおよびプロジェクト固有インスタンスの確認である。
更新された MCP Inspector では、デフォルトで一意のセッション・トークンが生成されるため、セキュリティ・ドキュメントが強化されている。また、Anthropic はオリジン検証を強化しており、localhost サービスを標的とする、公開 Web サイトからのブラウザ・ベースの攻撃ベクターは完全に軽減されている。
AI 開発者にとって、重要なセキュリティ喚起となる脆弱性の登場です。MCP Inspector の旧バージョンを使っていると、悪意の Web サイトから自分の PC へと、不正な命令を実行されるリスクがあると、この記事は指摘しています。ご利用のチームは、ご注意ください。よろしければ、MCP で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.