Plateforme
nodejs
Composant
@modelcontextprotocol/server-filesystem
Corrigé dans
0.6.5
0.6.3
La vulnérabilité CVE-2025-53110 affecte la bibliothèque @modelcontextprotocol/server-filesystem, versions inférieures ou égales à 0.6.2. Elle permet un accès non autorisé à des fichiers, en exploitant une faille dans la gestion des préfixes de répertoire. Cette vulnérabilité peut entraîner la divulgation de données sensibles. La mise à jour vers la version 0.6.4 corrige ce problème.
Un attaquant peut exploiter cette vulnérabilité pour accéder à des fichiers situés en dehors du répertoire autorisé, à condition que le préfixe du chemin d'accès corresponde à un répertoire autorisé. Cela peut permettre la lecture de fichiers de configuration, de données sensibles, ou même de code source. L'impact potentiel est la divulgation d'informations confidentielles, ce qui pourrait compromettre la sécurité de l'application ou du système. Bien que la description ne mentionne pas d'exploitation active, la facilité d'identification et d'exploitation de cette faille la rend potentiellement dangereuse.
La vulnérabilité a été signalée par Elad Beber de Cymulate et publiée le 1er juillet 2025. La probabilité d'exploitation est considérée comme moyenne en raison de la simplicité de l'exploitation et de la disponibilité potentielle de scripts automatisés. Il n'y a pas d'indication d'exploitation active à ce jour, ni d'ajout au KEV de CISA.
Applications and services that rely on the @modelcontextprotocol/server-filesystem package for file access are at risk. This includes Node.js applications using this package as a dependency. Specifically, deployments with relaxed file permissions or those that handle user-supplied file paths without proper sanitization are particularly vulnerable.
• nodejs: Monitor for requests containing unusual prefixes in file access paths. Use console.log or a debugging tool to inspect the paths being accessed.
• nodejs: Examine the require statements in your application to ensure you are using a patched version of @modelcontextprotocol/server-filesystem (version 0.6.4 or later).
• generic web: Review access logs for unusual file access patterns, particularly those involving directory traversal attempts or unexpected file extensions.
disclosure
Statut de l'Exploit
EPSS
0.07% (percentile 22%)
CISA SSVC
La mitigation principale consiste à mettre à jour la bibliothèque @modelcontextprotocol/server-filesystem vers la version 0.6.4 ou supérieure. Si la mise à jour n'est pas immédiatement possible, une solution de contournement temporaire pourrait consister à renforcer les contrôles d'accès aux fichiers, en limitant strictement les préfixes autorisés et en vérifiant rigoureusement chaque requête d'accès. Il est également recommandé de surveiller les journaux d'accès pour détecter toute tentative d'accès non autorisé. Après la mise à jour, vérifiez l'intégrité des fichiers et testez l'accès aux fichiers sensibles pour confirmer la correction.
Actualice la biblioteca `modelcontextprotocol/servers` a la versión 0.6.4 o superior. Esto corregirá la vulnerabilidad de omisión de validación de ruta. Puede actualizar usando el gestor de paquetes que utilice, como `pip install modelcontextprotocol/servers==0.6.4`.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-53110 is a high-severity vulnerability in @modelcontextprotocol/server-filesystem versions up to 0.6.2. It allows attackers to access unintended files due to a prefix matching flaw.
You are affected if you are using @modelcontextprotocol/server-filesystem versions 0.6.2 or earlier. Upgrade to 0.6.4 or later to resolve the issue.
Upgrade to version 0.6.4 or later of the @modelcontextprotocol/server-filesystem package. Implement stricter input validation on file access requests as a temporary workaround.
There is currently no indication of active exploitation campaigns targeting this vulnerability, but a PoC could be developed easily.
Refer to the advisory published by the @modelcontextprotocol/server-filesystem project, which is likely available on their GitHub repository or website.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.