脆弱性(OSS以外のものも含む)に関するトピックを集めています。最新の情報でディストリビューション側で対応できていないものも、こちらには載せています。適宜更新していきます。
脆弱性情報に関してはこちら(外部サイト)もご参照下さい
Anthropic MCP InspectorにRCEの脆弱性(CVE-2025-49596)
- Oligo Securityのブログより
- AnthropicのMCP Inspector(ブラウザベースのMCPサーバーテスト/デバッグツール)にRCEの脆弱性が見つかりました。
- CVE-2025-49596
- CVSS
- CVSS-B: 9.4 Critical
- Vector: CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:P/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H
- MCP Inspector < 0.14.1 には、インスペクタクライアントとプロキシ間の認証が不十分なため、リモートコード実行の脆弱性があり、認証されていないリクエストがstdio経由でMCPコマンドを実行できる可能性があります。これらの脆弱性に対処するため、ユーザーは直ちにバージョン0.14.1以降にアップグレードする必要があります。
- CVSS