Plataforma
nodejs
Componente
@modelcontextprotocol/server-filesystem
Corregido en
0.6.5
0.6.3
La vulnerabilidad CVE-2025-53110 afecta a versiones de @modelcontextprotocol/server-filesystem hasta la 0.6.2. Esta falla permite el acceso a archivos no deseados en el sistema de archivos del servidor, si el prefijo del nombre del archivo coincide con un directorio permitido. Se recomienda encarecidamente actualizar a la versión 0.6.4 para solucionar este problema y evitar posibles accesos no autorizados a datos sensibles.
Un atacante podría explotar esta vulnerabilidad para acceder a archivos confidenciales almacenados en el sistema de archivos del servidor. El impacto potencial incluye la exposición de información sensible, como claves API, contraseñas, datos de configuración o incluso código fuente. La capacidad de acceder a archivos arbitrarios podría permitir al atacante escalar privilegios, comprometer la integridad del sistema o incluso ejecutar código malicioso. Aunque la descripción no menciona un precedente específico, la capacidad de acceder a archivos arbitrarios presenta un riesgo significativo para la seguridad de la aplicación.
La vulnerabilidad fue reportada por Elad Beber de Cymulate y publicada el 1 de julio de 2025. La probabilidad de explotación se considera moderada, dado que requiere un conocimiento específico del sistema de archivos y la capacidad de manipular los nombres de los archivos. No se han reportado campañas de explotación activas a la fecha, pero la disponibilidad de la vulnerabilidad pública aumenta el riesgo de explotación futura. Se recomienda monitorear los sistemas afectados para detectar cualquier actividad sospechosa.
Applications and services that rely on the @modelcontextprotocol/server-filesystem package for file access are at risk. This includes Node.js applications using this package as a dependency. Specifically, deployments with relaxed file permissions or those that handle user-supplied file paths without proper sanitization are particularly vulnerable.
• nodejs: Monitor for requests containing unusual prefixes in file access paths. Use console.log or a debugging tool to inspect the paths being accessed.
• nodejs: Examine the require statements in your application to ensure you are using a patched version of @modelcontextprotocol/server-filesystem (version 0.6.4 or later).
• generic web: Review access logs for unusual file access patterns, particularly those involving directory traversal attempts or unexpected file extensions.
disclosure
Estado del Exploit
EPSS
0.07% (22% percentil)
CISA SSVC
La mitigación principal para CVE-2025-53110 es actualizar a la versión 0.6.4 de @modelcontextprotocol/server-filesystem. Si la actualización no es inmediatamente posible, considere implementar medidas de seguridad adicionales, como restringir el acceso a los directorios del sistema de archivos a través de controles de acceso basados en roles. Además, revise y endurezca las políticas de permisos del sistema de archivos para minimizar el impacto potencial de la vulnerabilidad. Después de la actualización, confirme que la vulnerabilidad ha sido resuelta verificando que el acceso a archivos no autorizados está bloqueado.
Actualice la biblioteca `modelcontextprotocol/servers` a la versión 0.6.4 o superior. Esto corregirá la vulnerabilidad de omisión de validación de ruta. Puede actualizar usando el gestor de paquetes que utilice, como `pip install modelcontextprotocol/servers==0.6.4`.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-53110 is a high-severity vulnerability in @modelcontextprotocol/server-filesystem versions up to 0.6.2. It allows attackers to access unintended files due to a prefix matching flaw.
You are affected if you are using @modelcontextprotocol/server-filesystem versions 0.6.2 or earlier. Upgrade to 0.6.4 or later to resolve the issue.
Upgrade to version 0.6.4 or later of the @modelcontextprotocol/server-filesystem package. Implement stricter input validation on file access requests as a temporary workaround.
There is currently no indication of active exploitation campaigns targeting this vulnerability, but a PoC could be developed easily.
Refer to the advisory published by the @modelcontextprotocol/server-filesystem project, which is likely available on their GitHub repository or website.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.