基本信息
漏洞编号: CVE-2025-49596
危险等级: 高危
影响版本: MCP Inspector < 0.14.1
受影响组件: MCP Inspector
验证状态: 已验证
修复状态: 官方已发布修复版本
漏洞详情
MCP Inspector 是一款用于测试和调试 MCP 服务器的开发人员工具。在 CVE-2025-49596 漏洞中,由于未对访问权限进行有效校验,攻击者可在未授权的情况下直接访问敏感接口,通过构造恶意请求实现任意命令执行,进而完全控制目标服务器。该漏洞利用门槛低,风险极高,攻击者可远程执行系统命令,造成数据泄露、服务中断等严重危害。
影响范围
影响版本
MCP Inspector 0.14.1 之前所有版本
受影响的产品
- 所有部署 MCP Inspector < 0.14.1 的 MCP 服务器环境
- 集成 MCP Inspector 的开发与测试环境
验证方法
- 确认 MCP Inspector 的实际部署版本,方法包括查看启动日志、执行
mcp-inspector --version或查阅相关文档。 - 在未授权状态下尝试访问 MCP Inspector 的接口,测试是否可执行系统命令(请在授权范围内进行安全测试)。
修复方案
方案一:版本升级 (推荐)
请立即将 MCP Inspector 升级至 0.14.1 及以上安全版本。
官方下载地址
方案二:临时缓解措施
在升级前,可临时采取以下措施缓解风险:
- 限制 MCP Inspector 服务的访问来源,仅允许可信 IP 访问。
- 通过防火墙或安全组禁止外部访问 MCP Inspector 相关端口。
- 加强主机的安全基线,监控异常命令执行行为。