MCP InspectorのRCE

MCP Inspectorというものがあります。
MCPは「Model Context Protocol」の略で、大規模言語モデル(LLM)が外部のツールやデータと連携するためのプロトコルです。
従来のLLMは、外部のデータやツールにアクセスする際に、それぞれのサービスごとに個別の接続方法を開発する必要がありましたが、MCPは、LLMと外部ツール間の接続を標準化することで、これらの課題を解決します。
そしてMCP InspectorはMCPサーバのテストとデバッグのためのインタラクティブな開発ツールです。
MCP Inspectorに、RCE（リモートコード実行）の脆弱性があったことが確認されました。

• CVE-2025-49596
  これは、MCP Inspectorの脆弱性です。
  この脆弱性がある開発者のマシンでコードを実行すると、攻撃者はデータを盗み、バックドアをインストールし、ネットワークを横方向に移動することができます。
  これは、MCPに依存するAIチームやオープンソースプロジェクトそして企業の導入者にとって深刻なリスクを浮き彫りにします。
  この脆弱性のCVSSスコアは9.4です。
  この脆弱性は、一つの強力な攻撃手法を可能にしてしまいます。
  その攻撃手法は2つの事象の組み合わせで実現してしまいます。
  一つは0.0.0.0 Dayと呼ばれるウェブブラウザの脆弱性です。
  そして、もう一つがこのCVE-2025-49596です。
  この脆弱性が存在するのはMCP Inspectorの0.14.1未満です。
  2025/7/2時点のMCP Inspectorは0.15.0です。

それぞれの単独の脆弱性が重大な問題となるケースもありますが、複数の脆弱性が組み合わせられた際に、大きな意図しない利用ができるようになってしまうケースもよくあります。
今回はそういった懸念が考えられるタイプの脆弱性でした。
個別に問題をつぶして健全な環境を維持するということもありますが、組み合わせられて、より大きな問題が実現してしまわないようにしていきたいです。
日々、パッチケイデンスの維持を続けていきたいですね。

Critical RCE Vulnerability in Anthropic MCP Inspector – CVE-2025-49596

https://www.oligo.security/blog/critical-rce-vulnerability-in-anthropic-mcp-inspector-cve-2025-49596