كشف باحثون في مجال الأمن السيبراني عن ثغرة حرجة في مشروع mcp-remote مفتوح المصدر، تتيح تنفيذ أوامر نظام تشغيل عشوائية، ما يشكل خطرًا بالغًا على المستخدمين قد يصل إلى اختراق كامل لأجهزتهم.
تحمل الثغرة رقم CVE-2025-6514 وتقييمًا خطيرًا على مقياس CVSS بلغ 9.6 من 10. وقال أور بيلس، رئيس فريق أبحاث الثغرات في JFrog، إن “الثغرة تتيح للمهاجمين تنفيذ أوامر نظام تشغيل عشوائية على الجهاز الذي يشغّل mcp-remote عند اتصاله بخادم MCP غير موثوق، ما قد يؤدي إلى اختراق كامل للنظام”.
تُعد أداة mcp-remote بمثابة وسيط محلي تم تطويره بعد إصدار شركة Anthropic لبروتوكول Model Context Protocol (MCP)، وهو إطار مفتوح المصدر يهدف إلى توحيد طريقة تفاعل تطبيقات النماذج اللغوية الكبيرة مع مصادر وخدمات البيانات الخارجية. وتُستخدم الأداة لربط تطبيقات مثل Claude Desktop بخوادم MCP عن بُعد، وبلغ عدد مرات تنزيل حزمة npm الخاصة بها أكثر من 437 ألف مرة.
تؤثر الثغرة على الإصدارات من 0.0.5 حتى 0.1.15، وتم تصحيحها في الإصدار 0.1.16 بتاريخ 17 يونيو 2025. ويواجه المستخدمون خطرًا فعليًا عند استخدام إصدار متأثر مع خوادم MCP غير آمنة أو غير موثوقة.
تنفيذ ملفات عشوائية على macOS وLinux
تتمثل الثغرة في تمكين خادم MCP خبيث من تضمين أوامر ضارة أثناء مرحلة التحقق الأولي من الاتصال والتفويض، حيث يقوم mcp-remote بتنفيذ هذه الأوامر على نظام التشغيل. وعلى أنظمة Windows، يمكن للمهاجم التحكم الكامل في معلمات الأمر، بينما يُمكن تنفيذ ملفات عشوائية على macOS وLinux مع قدرة محدودة على التحكم.
ونصح الباحثون المستخدمين بتحديث الأداة فورًا إلى الإصدار الأحدث وتجنب الاتصال إلا بخوادم MCP موثوقة عبر بروتوكول HTTPS الآمن، مشيرين إلى أن الاستخدام غير الآمن قد يُعرّض العملاء للاختراق الكامل.
تنفيذ تعليمات برمجية عن بُعد
ويأتي هذا الكشف بعد إعلان شركة Oligo Security عن ثغرة حرجة في أداة MCP Inspector (CVE-2025-49596، بدرجة CVSS بلغت 9.4)، يمكن استغلالها لتنفيذ تعليمات برمجية عن بُعد بسبب غياب المصادقة في واجهة المستخدم التفاعلية التي يتم تشغيلها محليًا للتواصل مع الخوادم. وأوضحت شركة Tenable أن هذا السيناريو يتيح تنفيذ هجمات تُعرف بـ “NeighborJacking”، حيث يمكن لمهاجم على نفس الشبكة أو من خلال موقع ويب ضار خداع الوكيل المحلي لتنفيذ تعليمات برمجية عبر هجوم XSS.
وأبرزت هذه الثغرات المخاطر الخفية الكامنة في بنية MCP التي توصف بأنها “USB-C” لعالم الذكاء الاصطناعي، إذ تشكل بنية تحتية حيوية لربط التطبيقات مع مصادر البيانات والخدمات المختلفة.
وفي وقت سابق من الشهر، تم اكتشاف ثغرتين خطيرتين في خادم Filesystem MCP التابع لـ Anthropic، قد تمكّن المهاجم من الخروج من البيئة المعزولة والوصول إلى ملفات حساسة وتنفيذ تعليمات ضارة:
-
CVE-2025-53110 (درجة CVSS: 7.3): تتعلق بتجاوز حدود الأدلة المسموح بها، حيث يمكن الوصول إلى مجلدات خارج النطاق المحدد مثل ملفات الاعتماد.
-
CVE-2025-53109 (درجة CVSS: 8.4): تتعلق بالتحايل على الروابط الرمزية بسبب سوء التعامل مع الأخطاء، ما قد يتيح التلاعب بملفات حساسة مثل “/etc/sudoers” أو زرع برمجيات خبيثة تعمل عند الإقلاع.
هاتان الثغرتان تؤثران على جميع إصدارات خادم Filesystem MCP التي تسبق 0.6.3 و2025.7.1، والتي احتوت على التصحيحات اللازمة.
وقال الباحث الأمني إلاد بيبر عن CVE-2025-53110: “تشكل هذه الثغرة خرقًا خطيرًا لنموذج أمان الخادم، إذ تُمكّن المهاجم من الوصول غير المصرح به إلى ملفات النظام، وفي حال تشغيل الخادم بصلاحيات مرتفعة فقد تُستخدم الثغرة لتصعيد الامتيازات والتحكم الكامل في النظام”.
