mcp-remote の脆弱性 CVE-2025-6514 が FIX:OAuth エンドポイントを介した悪意のペイロード注入

Critical mcp-remote Vulnerability Exposes LLM Clients to Remote Code Execution Attacks

2025/07/10 CyberSecurityNews — mcp-remote プロジェクトで発見された深刻な脆弱性 CVE-2025-6514 (CVSS:9.6) を悪用する攻撃者は、信頼できない Model Context Protocol (MCP) サーバに接続するマシン上で、任意の OS コマンド実行の可能性を得ている。この脆弱性が影響を及ぼす範囲は バージョン 0.0.5〜0.1.15 であり、リモートで MCP サーバを使用する LLM (Large Language Model) クライアントに深刻なリスクをもたらし、最悪の場合には、システム全体の乗っ取りに至るという。

要点まとめ
  1. 脆弱性 CVE-2025-6514:信頼できない MCP サーバ接続により発生する、mcp-remote バージョンの 0.0.5〜0.1.15 に存在する深刻な RCE 脆弱性。
  2. 悪意の OAuth 認証エンドポイント URL を通じて、PowerShell subexpression 評価を悪用する攻撃者は、コマンド・インジェクションを引き起こせる。
  3. 推奨策
    • mcp-remote をバージョン 0.1.16 に更新し、信頼できるサーバへの HTTPS 接続のみを使用する。
    • MCP コンフィグレーションを監査する。
    • 厳格な信頼ポリシーを適用する。
脆弱性 CVE-2025-6514 の詳細

JFrog セキュリティ研究チームによると、この脆弱性 CVE-2025-6514 により、MCP サーバとの通信で用いられるプロキシ・ツール mcp-remote の、OAuth 認証フローの悪用が可能になるという。なお、このツールは、Claude Desktop などの LLM クライアントにおいて、リモート MCP サーバとの通信で使用されるものだ。

この攻撃が成立する条件として必要になるのは、信頼できない/侵害された MCP サーバへの、LLM クライアントからの HTTP 接続である。

この脆弱性が悪用された場合には、以下のような2つの攻撃シナリオが考えられるだろう:

直接的な攻撃:悪意の MCP サーバに接続した場合に、攻撃者による悪意のペイロード注入が、OAuth の authorization_endpoint を介して可能になる。

mcp-remote untrusted connection

中間者攻撃 (MITM):ローカル・ネットワーク上の攻撃者が、安全が確保されない HTTP 接続を介して MCP トラフィックを乗っ取り、悪意のサーバへのリダイレクトを可能にする。

Local attackers hijack MCP traffic

以下のコンフィグレーション・プロセスは、Claude の JSON Config ファイルに関連するものである。

この脆弱性が発生するのは、リモート MCP サーバに対して mcp-remote が、認証サーバのメタデータをリクエストする際の、OAuth メタデータ検出フェーズである。そのときに悪意のサーバは、細工された authorization_endpoint 値を返し、オープンな npm パッケージの操作を達成する。

この攻撃で悪用されるのは、Windows システムにおける PowerShell のsubexpression 評価である。

悪意のサーバが、“a:$(cmd.exe /c whoami > c:\\temp\\pwned.txt)” のような改竄された認証エンドポイントを返すと、それを PowerShell 経由で処理する open() 関数が、任意のコマンドを実行してしまう:

こうして実行される PowerShell コマンドは、非標準の URI スキーマを用いて URL エンコード制限を回避するため、パラメーター制御が可能な完全なコマンド・インジェクションが、Windows システム上で可能となってしまう。

Risk FactorsDetails
Affected Productsmcp-remote versions 0.0.5 to 0.1.15
ImpactRemote Code Execution (RCE)
Exploit PrerequisitesConnection to untrusted/malicious MCP server OR insecure HTTP connection vulnerable to man-in-the-middle attacks
CVSS 3.1 Score9.6 (Critical)
緩和策

脆弱性 CVE-2025-6514 の影響を受けるバージョンを使用する、すべてのユーザーに対して推奨されるのは、セキュリティ修正が施された、mcp-remote バージョン 0.1.16 への速やかなアップデートである。

さらに、中間者攻撃を防ぐために必要となるのは、信頼できる MCP サーバだけに対して HTTPS で接続するという、セキュリティ・ベストプラクティスの遵守である。

ユーザー組織に対して推奨されるものには、MCP サーバ・コンフィグレーションの監査がある。すべての、安全が確保されない HTTP 接続を、LLM クライアント・コンフィグレーションから削除すべきである。

Cursor/Windsurf/Claude Desktop などの LLM ホストが、リモート MCP 接続機能を、ネイティブとして追加し始めている。セキュリティ・チームに求められるのは、それらのツールにおける、類似のコマンド・インジェクションの脆弱性に対して、警戒を怠らないことである。それに加えて、厳格なサーバ信頼ポリシーの維持も重要となる。

mcp-remote に発見された脆弱性は、信頼できないサーバへの接続が引き起こすリスクを示すものであり、HTTP 接続の使用や、不適切なコンフィグにより、攻撃者にドアを開けてしまうものです。したがって、AI 固有の問題ではなく、あらゆるシステムに存在し得る問題だと言えます。ご利用のチームは、ご注意ください。よろしければ、MCP で検索も、ご参照ください。