Une vulnérabilité critique qui exécute du code à distance affecte les serveurs mcp-remote.
L’équipe de recherche en sécurité de JFrog a alerté, mercredi 9 juillet, sur une vulnérabilité critique qui « permet l’exécution arbitraire de commandes système lorsque des clients utilisant le Model Context Protocol (MCP) se connectent à un serveur MCP non fiable via mcp-remote », met en garde un communiqué. Notée 9,6 sur l’échelle CVSS, la vulnérabilité peut entraîner la compromission totale du système en cas d’attaque réussie, prévient JFrog.
« Il est important que les utilisateurs se connectent à des clients MCP de confiance en utilisant des méthodes de connexion sécurisées, comme le HTTPS. Dans le cas contraire, des vulnérabilités telles que CVE-2025-6514 risquent de compromettre les clients MCP au sein d’un écosystème MCP en pleine expansion, avec des impacts potentiellement variés », prévient toutefois Or Peles, Senior Security Researcher chez JFrog et auteur de l’étude.
Une mise à jour est disponible
L’outil mcp-remote est plébiscité par la communauté IA. Les serveurs MCP distants permettent d’étendre les capacités de l’IA et d’accélérer l’itération du code pour fiabiliser la livraison logicielle.
« Les serveurs MCP distants sont des leviers puissants pour étendre les capacités de l’intelligence artificielle dans des environnements maîtrisés, accélérer l’itération du code et garantir une livraison logicielle plus fiable. Cependant, leur utilisation requiert une vigilance accrue », explique Or Peles, La vulnérabilité affecte les versions 0.0.5 à 0.1.15 et a d’ores et déjà été corrigée dans la version 0.1.16. À vos mises à jour !
