Los servidores MCP expuestos, trampolines hacia el secuestro del cloud
Una inyección de comandos en servidores MCP cloud (CVE-2026-5058/5059) permite alcanzar el servicio de metadatos, robar el rol IAM y pivotar hacia toda la cuenta cloud.
¿Qué es esto?
Un servidor Model Context Protocol (MCP) es el puente que permite a un agente de IA llamar a herramientas: ejecutar una consulta, acceder a una API, gestionar recursos cloud. Dos tendencias chocaron en la primavera de 2026. Primero, los investigadores de Trend Micro Alfredo Oliveira y David Fiser informaron (28 de abril de 2026) de que el número de servidores MCP expuestos en internet sin autenticación ni cifrado casi se había triplicado, pasando de 492 a 1.467. Segundo, aparecieron fallos críticos de inyección de comandos en implementaciones MCP cloud populares: CVE-2026-5058 y CVE-2026-5059 en el aws-mcp-server comunitario (ambas CVSS 9.8, sin autenticación, publicadas el 10 y 11 de abril de 2026), además de un fallo de Azure no divulgado registrado como ZDI-CAN-28042. El resultado no es una simple exposición de datos: es un camino directo desde una herramienta de IA vulnerable hasta el compromiso total de la cuenta cloud.
Cómo funciona
aws-mcp-server expone un gestor de «comandos permitidos» que construye un comando de shell a partir de una cadena suministrada por el usuario sin la debida neutralización (CWE-78, inyección de comandos de SO). Un atacante que pueda alcanzar el endpoint inyecta metacaracteres de shell — ;, |, &&, comillas invertidas — junto a un comando arbitrario, que el servidor ejecuta en el contexto de su propio proceso. No se necesitan credenciales.
El pivote es lo que hace que esto sea grave. Estos servidores suelen ejecutarse en una VM cloud (una instancia EC2, una VM de Azure) con un rol IAM adjunto, para que el agente pueda gestionar recursos cloud en nombre del usuario. Una vez que el atacante logra ejecución de código en ese host, consulta el servicio de metadatos de la instancia:
GET http://169.254.169.254/latest/meta-data/iam/security-credentials/[ROLE]Esto devuelve credenciales temporales del rol IAM de la VM. Con ellas, el atacante abandona el servidor MCP y entra en el plano de control cloud: listar, leer, modificar y eliminar todo lo que el rol pueda alcanzar. Trend Micro describe la misma cadena que conduce a una fuga de contenedor y de VM.
Por qué importa
Es la combinación letal de ejecución remota de código y credenciales cloud ambientales. Un servidor MCP parece un componente de aplicación, así que los equipos lo exponen en un puerto cómodo y olvidan que el host subyacente posee un rol IAM potente. El escaneo de Trend Micro halló que más del 90 % de los servidores expuestos ofrecían acceso de lectura directo a sus fuentes de datos, 1.227 seguían en el transporte SSE obsoleto, y herramientas como execute_sql eran accesibles en 70 hosts, incluidos al menos tres que exponían historiales médicos de pacientes. El radio de impacto de un solo fallo de inyección de comandos es, por tanto, toda la cuenta cloud que el rol del servidor pueda tocar, no solo los datos del agente.
Defensas
Trate los servidores MCP como infraestructura cloud, no como juguetes experimentales.
- Nunca exponga un servidor MCP a internet. Enlácelo a localhost o a una red privada; exija autenticación y TLS en cada transporte.
- Imponga IMDSv2 y un límite de saltos. Exija solicitudes de metadatos con token de sesión y fije el límite de saltos de respuesta a 1, para que un proceso comprometido dentro de un contenedor no alcance tan fácilmente el endpoint de metadatos.
- Aplique el mínimo privilegio al rol de la instancia. La VM que aloja un servidor MCP debe llevar solo los permisos IAM mínimos; evite políticas
*amplias que convierten una RCE en un secuestro de cuenta. - Parchee o reemplace los servidores vulnerables. No había versión corregida de
aws-mcp-serveren el momento de la divulgación (versiones afectadas<= 1.7.0); fíjese a una implementación mantenida y auditada, y valide cada argumento de herramienta del lado del servidor. - Aísle y monitorice. Ejecute los servidores MCP en contenedores aislados con filtrado de salida, y alerte sobre accesos al servicio de metadatos y sobre invocaciones inesperadas de herramientas
execute_sql/shell. - Instale únicamente servidores MCP de fuentes verificadas, y trate cualquier configuración de servidor suministrada externamente como entrada no confiable.
Estado
| Elemento | Detalle |
|---|---|
| CVE-2026-5058 / CVE-2026-5059 | aws-mcp-server, CVSS 9.8, CWE-78, sin autenticación |
| Afectado | aws-mcp <= 1.7.0; sin versión corregida en la divulgación |
| Fallo de Azure | ZDI-CAN-28042 (Microsoft), CVSS 9.8, detalles no divulgados |
| Exposición | 1.467 servidores MCP públicos (frente a 492), según Trend Micro, 28 de abril de 2026 |
| Divulgación | NVD publicó CVE-2026-5059 el 10 de abril de 2026 (ZDI-26-245) |
Sources
- → https://www.trendmicro.com/vinfo/us/security/news/vulnerabilities-and-exploits/update-on-exposed-mcp-servers-the-threat-widens-to-the-cloud
- → https://nvd.nist.gov/vuln/detail/CVE-2026-5059
- → https://github.com/advisories/GHSA-fgmx-xfp3-w28p
- → https://www.sentinelone.com/vulnerability-database/cve-2026-5058/