CVE-2025-49596

Nome do Software Vulnerável e Versões Afetadas Versões do MCP Inspector anteriores a 0.14.1

Descrição O MCP Inspector é uma ferramenta para desenvolvedores utilizada para teste e depuração de servidores MCP. Versões anteriores a 0.14.1 são vulneráveis à execução remota de código (RCE) devido à falta de autenticação entre o cliente do Inspector e o proxy. Isso permite que requisições não autenticadas executem comandos MCP via stdio. A vulnerabilidade é explorável ao encadear uma falha conhecida que afeta navegadores web modernos (0.0.0.0 Day) com uma vulnerabilidade de falsificação de solicitação entre sites (CSRF). Um atacante pode executar código arbitrário na máquina de um desenvolvedor induzindo-o a visitar um site malicioso. As configurações padrão da ferramenta expõem-na a riscos de segurança significativos, incluindo falta de autenticação e criptografia. A vulnerabilidade possui uma pontuação CVSS de 9.4 e é considerada crítica.

Recomendações Atualize para a versão 0.14.1 ou posterior do MCP Inspector.