प्लेटफ़ॉर्म
nodejs
घटक
@modelcontextprotocol/server-filesystem
में ठीक किया गया
0.6.5
0.6.3
CVE-2025-53110 @modelcontextprotocol/server-filesystem में एक फ़ाइल एक्सेस भेद्यता है। यह भेद्यता हमलावरों को अनधिकृत फ़ाइलों तक पहुंचने की अनुमति दे सकती है, जिससे डेटा उल्लंघन और सिस्टम समझौता हो सकता है। यह भेद्यता @modelcontextprotocol/server-filesystem के संस्करणों ≤0.6.2 को प्रभावित करती है। इस समस्या को हल करने के लिए 0.6.4 में अपग्रेड करने की सिफारिश की जाती है।
यह भेद्यता हमलावरों को उन फ़ाइलों तक पहुंचने की अनुमति देती है जिन्हें वे एक्सेस करने के लिए अधिकृत नहीं हैं। यदि उपसर्ग अनुमत निर्देशिका से मेल खाता है, तो यह अनपेक्षित फ़ाइल एक्सेस की अनुमति दे सकता है। यह संवेदनशील डेटा के प्रकटीकरण, सिस्टम के नियंत्रण को खोने और अन्य दुर्भावनापूर्ण गतिविधियों का कारण बन सकता है। इस भेद्यता का शोषण करने के लिए, एक हमलावर फ़ाइल सिस्टम के साथ इंटरैक्ट करने के लिए @modelcontextprotocol/server-filesystem का उपयोग कर सकता है, और फिर अनधिकृत फ़ाइलों तक पहुंचने के लिए भेद्यता का फायदा उठा सकता है।
CVE-2025-53110 को अभी तक सक्रिय रूप से शोषण करते हुए नहीं देखा गया है, लेकिन इसकी उच्च गंभीरता के कारण, इसका शोषण किया जा सकता है। यह भेद्यता KEV में सूचीबद्ध नहीं है। सार्वजनिक रूप से उपलब्ध प्रमाण-अवधारणा (PoC) ज्ञात नहीं हैं। इस भेद्यता की रिपोर्ट Elad Beber (Cymulate) द्वारा की गई थी।
Applications and services that rely on the @modelcontextprotocol/server-filesystem package for file access are at risk. This includes Node.js applications using this package as a dependency. Specifically, deployments with relaxed file permissions or those that handle user-supplied file paths without proper sanitization are particularly vulnerable.
• nodejs: Monitor for requests containing unusual prefixes in file access paths. Use console.log or a debugging tool to inspect the paths being accessed.
• nodejs: Examine the require statements in your application to ensure you are using a patched version of @modelcontextprotocol/server-filesystem (version 0.6.4 or later).
• generic web: Review access logs for unusual file access patterns, particularly those involving directory traversal attempts or unexpected file extensions.
disclosure
एक्सप्लॉइट स्थिति
EPSS
0.07% (22% शतमक)
CISA SSVC
CVE-2025-53110 को कम करने का प्राथमिक तरीका @modelcontextprotocol/server-filesystem को संस्करण 0.6.4 या बाद के संस्करण में अपग्रेड करना है। यदि अपग्रेड करना तत्काल संभव नहीं है, तो फ़ाइल सिस्टम एक्सेस को सीमित करने के लिए अतिरिक्त सुरक्षा उपाय लागू किए जा सकते हैं। फ़ाइल सिस्टम एक्सेस को सीमित करने के लिए, आप फ़ाइल सिस्टम अनुमतियों को सख्त कर सकते हैं, फ़ायरवॉल नियमों को कॉन्फ़िगर कर सकते हैं, या फ़ाइल सिस्टम एक्सेस को मॉनिटर करने के लिए घुसपैठ का पता लगाने वाले सिस्टम का उपयोग कर सकते हैं। अपग्रेड के बाद, यह सुनिश्चित करने के लिए फ़ाइल सिस्टम एक्सेस का परीक्षण करें कि भेद्यता ठीक हो गई है।
Actualice la biblioteca `modelcontextprotocol/servers` a la versión 0.6.4 o superior. Esto corregirá la vulnerabilidad de omisión de validación de ruta. Puede actualizar usando el gestor de paquetes que utilice, como `pip install modelcontextprotocol/servers==0.6.4`.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2025-53110 @modelcontextprotocol/server-filesystem में एक भेद्यता है जो हमलावरों को अनधिकृत फ़ाइलों तक पहुंचने की अनुमति दे सकती है। यह भेद्यता संस्करणों ≤0.6.2 को प्रभावित करती है।
यदि आप @modelcontextprotocol/server-filesystem के संस्करण ≤0.6.2 का उपयोग कर रहे हैं, तो आप प्रभावित हैं।
@modelcontextprotocol/server-filesystem को संस्करण 0.6.4 या बाद के संस्करण में अपग्रेड करें।
CVE-2025-53110 को अभी तक सक्रिय रूप से शोषण करते हुए नहीं देखा गया है, लेकिन इसकी उच्च गंभीरता के कारण, इसका शोषण किया जा सकता है।
आधिकारिक सलाहकार के लिए @modelcontextprotocol की वेबसाइट देखें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।