Investigadores descubren dos vulnerabilidades críticas en el servidor de archivos MCP que comprometen la seguridad de entornos que utilizan la inteligencia artificial Claude
Los laboratorios de investigación de Cymulate han revelado dos graves vulnerabilidades en el servidor de archivos del Model Context Protocol (MCP) de Anthropic, tecnología utilizada para conectar aplicaciones de modelos de lenguaje como Claude Desktop con datos y servicios del mundo real. Los fallos, registrados como CVE-2025-53109 y CVE-2025-53110, permiten a los atacantes eludir la supuesta contención de directorios del sistema, manipular archivos sensibles y, en última instancia, ejecutar código arbitrario en el sistema anfitrión.
El MCP, ampliamente promovido como una solución segura para que las inteligencias artificiales interactúen con archivos y APIs, está ganando tracción en la industria como el “puerto USB-C” universal para herramientas LLM. Sin embargo, estas nuevas evidencias de vulnerabilidades elevan serias dudas sobre su robustez en entornos productivos.
Dos vías hacia la intrusión: directorios y enlaces simbólicos
El primero de los fallos, CVE-2025-53110, consiste en una implementación ingenua del control de acceso a directorios. En lugar de verificar si una ruta está realmente contenida dentro del directorio permitido, el sistema realiza una simple comparación de prefijo. Esto permite a un atacante acceder a rutas como /private/tmp/allow_dir_sensitive_credentials siempre que comiencen con /private/tmp/allow_dir, sin estar realmente contenidas dentro del directorio permitido. Esta omisión facilita la lectura o escritura de archivos fuera del entorno controlado, abriendo la puerta a filtraciones de datos o escaladas de privilegios.
El segundo y más grave fallo, CVE-2025-53109, aprovecha la gestión incorrecta de enlaces simbólicos (symlinks). Aunque el servidor intenta comprobar la ruta real de los enlaces para evitar accesos indebidos, una mala gestión de errores en el código permite que el sistema vuelva a verificar la ruta del directorio padre, en lugar del destino real del symlink. Esta confusión hace posible que un enlace simbólico creado en una ruta aparentemente válida apunte, por ejemplo, a /etc/sudoers, permitiendo al atacante leer o escribir archivos críticos del sistema.
De la lectura de archivos a la ejecución de código
La posibilidad de escribir archivos en ubicaciones arbitrarias del sistema permite a los atacantes ir más allá de la simple filtración de datos. En un escenario de ataque más avanzado, los investigadores lograron ejecutar código malicioso aprovechando el mecanismo de Launch Agents en macOS. Al crear un fichero .plist en la carpeta de agentes de lanzamiento del usuario, el sistema ejecuta el código especificado al iniciar sesión. Esta técnica puede ser reutilizada para lanzar cualquier aplicación o script con los permisos del usuario, o incluso con privilegios elevados si el servidor MCP se ejecuta como root.
Impacto y respuesta
La severidad de ambas vulnerabilidades es significativa. CVE-2025-53110 tiene una puntuación CVSS de 7,3, mientras que CVE-2025-53109 alcanza los 8,4, debido a su potencial para comprometer completamente el sistema.
Los fallos fueron descubiertos el 30 de marzo de 2025 y reportados a Anthropic ese mismo día. La empresa reconoció el problema el 1 de mayo y publicó una actualización de seguridad el 1 de julio, en la versión 2025.7.1 del paquete npm correspondiente. Se recomienda encarecidamente a todos los usuarios que actualicen a esta versión lo antes posible.
La respuesta de Anthropic ha sido calificada por los investigadores como rápida y colaborativa, facilitando una solución efectiva y la difusión de las recomendaciones de mitigación.
Recomendaciones de seguridad
Desde Cymulate se aconseja adoptar las siguientes medidas:
- Actualizar inmediatamente a la versión
2025.7.1del servidor MCP. - Configurar los servicios con el principio de privilegio mínimo, evitando ejecutar el servidor MCP con permisos elevados si no es imprescindible.
- Validar la seguridad del entorno mediante plataformas como la Cymulate Exposure Validation Platform, que incluye simulaciones específicas de estos ataques para ayudar a detectar y corregir vulnerabilidades.
Reflexiones finales
El descubrimiento de estas vulnerabilidades en un componente tan central como el servidor de archivos de MCP subraya la urgencia de incorporar prácticas de seguridad desde el diseño en herramientas de inteligencia artificial. A medida que los modelos de lenguaje se integran en flujos de trabajo reales con acceso a sistemas de archivos, bases de datos y APIs, los riesgos de una mala implementación se multiplican.
El propio modelo Claude, al ser utilizado en los experimentos, detectó que había accedido a un directorio no autorizado y alertó de una posible vulnerabilidad. Este gesto, aunque anecdótico, pone de manifiesto que incluso las IA pueden ayudar a auditar su entorno de ejecución, pero no son infalibles.
Con la creciente adopción del MCP, este incidente representa una valiosa llamada de atención: en la carrera por integrar capacidades de IA en nuestras infraestructuras, no se puede sacrificar la seguridad. La sofisticación de los atacantes va en aumento, y cada nueva interfaz es una potencial puerta de entrada si no se refuerzan adecuadamente los mecanismos de protección.
vía: cymulate
