{"id":602,"date":"2026-04-20T11:38:12","date_gmt":"2026-04-20T11:38:12","guid":{"rendered":"https:\/\/cybercolombia.co\/index.php\/2026\/04\/20\/una-vulnerabilidad-antropica-en-el-diseno-de-mcp-permite-rce-y-amenaza-la-cadena-de-suministro-de-ia-cyberdefensa-mx\/"},"modified":"2026-04-20T11:38:12","modified_gmt":"2026-04-20T11:38:12","slug":"una-vulnerabilidad-antropica-en-el-diseno-de-mcp-permite-rce-y-amenaza-la-cadena-de-suministro-de-ia-cyberdefensa-mx","status":"publish","type":"post","link":"https:\/\/cybercolombia.co\/index.php\/2026\/04\/20\/una-vulnerabilidad-antropica-en-el-diseno-de-mcp-permite-rce-y-amenaza-la-cadena-de-suministro-de-ia-cyberdefensa-mx\/","title":{"rendered":"Una vulnerabilidad antr\u00f3pica en el dise\u00f1o de MCP permite RCE y amenaza la cadena de suministro de IA \u2013 CYBERDEFENSA.MX"},"content":{"rendered":"<div id=\"articlebody\">\n<p>Los investigadores de ciberseguridad han descubierto una debilidad cr\u00edtica \u00abpor dise\u00f1o\u00bb en la arquitectura del Model Context Protocol (MCP) que podr\u00eda allanar el camino para la ejecuci\u00f3n remota de c\u00f3digo y tener un efecto en cascada en la cadena de suministro de inteligencia artificial (IA).<\/p>\n<p>\u00abEsta falla permite la ejecuci\u00f3n de comandos arbitrarios (RCE) en cualquier sistema que ejecute una implementaci\u00f3n MCP vulnerable, otorgando a los atacantes acceso directo a datos confidenciales del usuario, bases de datos internas, claves API e historiales de chat\u00bb, dijeron los investigadores de OX Security Moshe Siman Tov Bustan, Mustafa Naamnih, Nir Zadok y Roni Bar. <a href=\"https:\/\/www.ox.security\/blog\/the-mother-of-all-ai-supply-chains-critical-systemic-vulnerability-at-the-core-of-the-mcp\/\">dicho<\/a> en un an\u00e1lisis publicado la semana pasada.<\/p>\n<p>La compa\u00f1\u00eda de ciberseguridad dijo que la vulnerabilidad sist\u00e9mica est\u00e1 integrada en el kit de desarrollo de software (SDK) MCP oficial de Anthropic en cualquier lenguaje compatible, incluidos Python, TypeScript, Java y Rust. En total, afecta a m\u00e1s de 7.000 servidores y paquetes de software de acceso p\u00fablico, con un total de m\u00e1s de 150 millones de descargas.<\/p>\n<div class=\"dog_two clear\">\n<div class=\"cf\"><a href=\"https:\/\/thehackernews.uk\/ai-blindspot-d-2\" rel=\"nofollow noopener sponsored\" target=\"_blank\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/blogger.googleusercontent.com\/img\/b\/R29vZ2xl\/AVvXsEjXdwBgwvGAvD2t1bXXwTy6zsfnReMp12VglYCBAv0j9Tc0_gLKPqF5HJO1kOv26ZcGRlQJ1kRXGvtIusmtnUGUjonzq8YEigkMhMJvk_Cta9TYHzMvqVfa5SvoH-Z9-kw5VEH8sPeI1YKKrzFeNYp0Cn7mEGMn6PXOs0waZDIWKI5nccOxPyJR8MDQMasu\/s728-e100\/nudge-d-2.jpg\" width=\"729\" height=\"91\"\/><\/a><\/div>\n<\/div>\n<p>Lo que est\u00e1 en juego son los valores predeterminados inseguros en c\u00f3mo funciona la configuraci\u00f3n de MCP en el <a href=\"https:\/\/modelcontextprotocol.io\/specification\/2025-11-25\/basic\/transports\" target=\"_blank\">ESTDIO<\/a> (entrada\/salida est\u00e1ndar), lo que result\u00f3 en el descubrimiento de 10 vulnerabilidades que abarcan proyectos populares como LiteLLM, LangChain, LangFlow, Flowise, LettaAI y LangBot.<\/p>\n<ul>\n<li>CVE-2025-65720 (Investigador GPT)<\/li>\n<li>CVE-2026-30623 (LiteLLM) \u2013 Parcheado<\/li>\n<li>CVE-2026-30624 (Agente Cero)<\/li>\n<li>CVE-2026-30618 (Marco Fay)<\/li>\n<li>CVE-2026-33224 (Bisheng) \u2013 Parcheado<\/li>\n<li>CVE-2026-30617 (Langchain-Chatchat)<\/li>\n<li>CVE-2026-33224 (Jaaz)<\/li>\n<li>CVE-2026-30625 (Ups\u00f3nico)<\/li>\n<li>CVE-2026-30615 (Windsurf)<\/li>\n<li>CVE-2026-26015 (DocsGPT) \u2013 Parcheado<\/li>\n<li>CVE-2026-40933 (Flowise)<\/li>\n<\/ul>\n<div class=\"separator\" style=\"clear: both;\"><a href=\"https:\/\/blogger.googleusercontent.com\/img\/b\/R29vZ2xl\/AVvXsEiAhY4TgSp1qp15G047A5Kd6HlFbTwClDL0e2PtV0irWfvB8U6x7naJ0H8wBDcf7oXRvYh4fAUHi_rjn-UQKWeqtAkHEGZ-JpXKX1Cidpj6f8zvLsWHE45vxP_KUfE0tMfUvDSD7OEa5vRIVWf8tDzCZh_jmbkc6mG3QphEkVBtTTVoMxFjG30jidHyxBfm\/s1700-e365\/operating.png\" style=\"clear: left; display: block; float: left;  text-align: center;\"><img decoding=\"async\" src=\"https:\/\/blogger.googleusercontent.com\/img\/b\/R29vZ2xl\/AVvXsEiAhY4TgSp1qp15G047A5Kd6HlFbTwClDL0e2PtV0irWfvB8U6x7naJ0H8wBDcf7oXRvYh4fAUHi_rjn-UQKWeqtAkHEGZ-JpXKX1Cidpj6f8zvLsWHE45vxP_KUfE0tMfUvDSD7OEa5vRIVWf8tDzCZh_jmbkc6mG3QphEkVBtTTVoMxFjG30jidHyxBfm\/s1700-e365\/operating.png\" alt=\"\" border=\"0\" data-original-height=\"910\" data-original-width=\"1748\"\/><\/a><\/div>\n<p>Estas vulnerabilidades se dividen en cuatro categor\u00edas amplias y activan efectivamente la ejecuci\u00f3n remota de comandos en el servidor:<\/p>\n<ul>\n<li>Inyecci\u00f3n de comandos autenticados y no autenticados a trav\u00e9s de MCP STDIO<\/li>\n<li>Inyecci\u00f3n de comandos no autenticados a trav\u00e9s de configuraci\u00f3n STDIO directa con derivaci\u00f3n de refuerzo<\/li>\n<li>Inyecci\u00f3n de comandos no autenticados a trav\u00e9s de la edici\u00f3n de configuraci\u00f3n de MCP mediante inyecci\u00f3n de aviso sin hacer clic<\/li>\n<li>Inyecci\u00f3n de comandos no autenticados a trav\u00e9s de mercados MCP a trav\u00e9s de solicitudes de red, lo que activa configuraciones STDIO ocultas<\/li>\n<\/ul>\n<p>\u00abEl protocolo de contexto modelo de Anthropic ofrece una ejecuci\u00f3n directa de configuraci\u00f3n a comando a trav\u00e9s de su interfaz STDIO en todas sus implementaciones, independientemente del lenguaje de programaci\u00f3n\u00bb, explicaron los investigadores.<\/p>\n<p>\u00abComo este c\u00f3digo estaba destinado a usarse para iniciar un servidor STDIO local y devolver un identificador del STDIO al LLM. Pero en la pr\u00e1ctica, en realidad permite que cualquiera ejecute cualquier comando arbitrario del sistema operativo, si el comando crea exitosamente un servidor STDIO devolver\u00e1 el identificador, pero cuando se le da un comando diferente, devuelve un error despu\u00e9s de ejecutar el comando\u00bb.<\/p>\n<div class=\"dog_two clear\">\n<div class=\"cf\"><a href=\"https:\/\/thehackernews.uk\/fast-response-not-fast-d\" rel=\"nofollow noopener sponsored\" target=\"_blank\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/blogger.googleusercontent.com\/img\/b\/R29vZ2xl\/AVvXsEjgi9mu68zRUz1nCLLKmkAA2aBtNfP_JOTXulZoB6yImso1Onk7oM_LI0kdROu8fq5S5oDyMtd1j50W44Ye_8Sl3zQZiE8A9tmFr6kejGKjGh74uoxluF-RyBq_unDQlzjXZHCqQeuYXBoogda5zf0w-zXd6v0rIM7fEw6TcFf_QGWBu5Mop-djkEaOUa5A\/s728-e100\/tl-d.jpg\" width=\"729\" height=\"91\"\/><\/a><\/div>\n<\/div>\n<p>Curiosamente, durante el a\u00f1o pasado se informaron de forma independiente vulnerabilidades basadas en el mismo problema central. Incluyen CVE-2025-49596 (MCP Inspector), LibreChat (CVE-2026-22252), WeKnora (CVE-2026-22688), @akoskm\/create-mcp-server-stdio (CVE-2025-54994) y Cursor (CVE-2025-54136).<\/p>\n<p>Anthropic, sin embargo, se ha negado a modificar la arquitectura del protocolo, citando el comportamiento como \u00abesperado\u00bb. Si bien algunos de los proveedores han emitido parches, la deficiencia sigue sin abordarse en la implementaci\u00f3n de referencia MCP de Anthropic, lo que hace que los desarrolladores hereden los riesgos de ejecuci\u00f3n del c\u00f3digo.<\/p>\n<p>Los hallazgos resaltan c\u00f3mo las integraciones impulsadas por IA pueden expandir inadvertidamente la superficie de ataque. Para contrarrestar la amenaza, se recomienda bloquear el acceso de IP p\u00fablica a servicios confidenciales, monitorear las invocaciones de herramientas MCP, ejecutar servicios habilitados para MCP en una zona de pruebas, tratar la entrada de configuraci\u00f3n de MCP externa como no confiable y solo instalar servidores MCP de fuentes verificadas.<\/p>\n<p>\u00abLo que hizo que esto fuera un evento de la cadena de suministro en lugar de un \u00fanico CVE es que una decisi\u00f3n arquitect\u00f3nica, tomada una vez, se propag\u00f3 silenciosamente a todos los idiomas, a todas las bibliotecas posteriores y a todos los proyectos que confiaron en que el protocolo era lo que parec\u00eda ser\u00bb, dijo OX Security. \u00abTransferir la responsabilidad a los implementadores no transfiere el riesgo. Simplemente oscurece qui\u00e9n lo cre\u00f3\u00bb.<\/p>\n<\/div>\n","protected":false},"excerpt":{"rendered":"<p>Los investigadores de ciberseguridad han descubierto una debilidad cr\u00edtica \u00abpor dise\u00f1o\u00bb en la arquitectura del Model Context Protocol (MCP) que podr\u00eda allanar el camino para la ejecuci\u00f3n remota de c\u00f3digo y tener un efecto en cascada en la cadena de suministro de inteligencia artificial (IA). \u00abEsta falla permite la ejecuci\u00f3n de comandos arbitrarios (RCE) en [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":576,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[25,5],"tags":[1009,1930,249,24,1931,1058,265,779,250,132,313],"class_list":["post-602","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-noticias","category-trending","tag-amenaza","tag-antropica","tag-cadena","tag-cyberdefensa-mx","tag-diseno","tag-mcp","tag-permite","tag-rce","tag-suministro","tag-una","tag-vulnerabilidad"],"_links":{"self":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/602","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/comments?post=602"}],"version-history":[{"count":0,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/602\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media\/576"}],"wp:attachment":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media?parent=602"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/categories?post=602"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/tags?post=602"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}