Kritisk RCE-sårbarhed i mcp-remote

Eskil Sørensen

07.10.2025 09:54

CVSS-score 9,6

Der er blevet observeret en kritisk remote code execution-sårbarhed i mcp-remote der truer LLM-klienter. Sårbarheden gør det muligt for en ondsindet aktør at udløse vilkårlig OS-kommandoudførelse på den enhed, der kører mcp-remote, når den indleder en forbindelse til en usikker MCP-server.

Sårbarheden har id’et EUVD-2025-20823 (CVE-2025-6514) og en CVSS-score på 9,6.

De berørte versioner er mcp-remote versionerne 0.0.5 til 0.1.15

På Windows kan en ondsindet aktør bruge denne sårbarhed til vilkårlig udførelse af OS-kommandoer (shell commands med fuld parameterkontrol). På macOS og Linux fører sårbarheden til udførelse af vilkårlige eksekverbare filer med begrænset parameterkontrol.

Det anbefales at følge producentens anvisninger og opdatere de sårbare installationer med det samme.

Der er ikke rapporteret om aktiv udnyttelse.

Læs mere

https://jfrog.com/blog/2025-6514-critical-mcp-remote-rce-vulnerability/

Sårbarhed