プラットフォーム
nodejs
コンポーネント
@modelcontextprotocol/server-filesystem
修正版
0.6.5
0.6.3
CVE-2025-53110は、@modelcontextprotocol/server-filesystemのバージョン0.6.2以前に存在するファイルアクセス脆弱性です。この脆弱性を悪用されると、攻撃者は許可されたディレクトリのプレフィックスが一致する場合、意図しないファイルにアクセスできる可能性があります。影響を受けるバージョンは0.6.2以前であり、バージョン0.6.4へのアップグレードでこの問題は修正されています。
この脆弱性は、攻撃者がシステム内の機密情報を含むファイルに不正にアクセスすることを可能にします。特に、プレフィックスが許可されたディレクトリと一致する場合、攻撃者はファイルシステム内の他のファイルにアクセスできる可能性があります。この脆弱性は、機密データの漏洩、改ざん、または削除につながる可能性があります。攻撃者は、この脆弱性を利用して、システム内の他のコンポーネントへのアクセス権を取得し、さらなる攻撃を実行する可能性があります。類似の脆弱性は、ファイルシステムアクセス制御の不備から発生する可能性があります。
この脆弱性は、CymulateのElad Beber氏によって報告されました。現時点では、公開されているPoCは確認されていませんが、ファイルシステムアクセス制御の不備は、攻撃者にとって魅力的な標的となり得ます。CISA KEVへの登録状況は不明です。NVDの公開日は2025年7月1日です。
Applications and services that rely on the @modelcontextprotocol/server-filesystem package for file access are at risk. This includes Node.js applications using this package as a dependency. Specifically, deployments with relaxed file permissions or those that handle user-supplied file paths without proper sanitization are particularly vulnerable.
• nodejs: Monitor for requests containing unusual prefixes in file access paths. Use console.log or a debugging tool to inspect the paths being accessed.
• nodejs: Examine the require statements in your application to ensure you are using a patched version of @modelcontextprotocol/server-filesystem (version 0.6.4 or later).
• generic web: Review access logs for unusual file access patterns, particularly those involving directory traversal attempts or unexpected file extensions.
disclosure
エクスプロイト状況
EPSS
0.07% (22% パーセンタイル)
CISA SSVC
この脆弱性への最も効果的な対策は、@modelcontextprotocol/server-filesystemをバージョン0.6.4にアップグレードすることです。アップグレードがシステムに影響を与える場合は、一時的な回避策として、ファイルシステムアクセス制御を強化し、許可されていないファイルへのアクセスを制限することを検討してください。また、WAF(Web Application Firewall)やプロキシサーバーを使用して、不正なファイルアクセス試行をブロックすることも有効です。脆弱性スキャンツールを使用して、システムにこの脆弱性が存在するかどうかを定期的に確認することをお勧めします。
Actualice la biblioteca `modelcontextprotocol/servers` a la versión 0.6.4 o superior. Esto corregirá la vulnerabilidad de omisión de validación de ruta. Puede actualizar usando el gestor de paquetes que utilice, como `pip install modelcontextprotocol/servers==0.6.4`.
脆弱性分析と重要アラートをメールでお届けします。
CVE-2025-53110は、@modelcontextprotocol/server-filesystemのバージョン0.6.2以前に存在するファイルアクセス脆弱性です。攻撃者は許可されたディレクトリのプレフィックスが一致する場合、意図しないファイルにアクセスできる可能性があります。
はい、@modelcontextprotocol/server-filesystemのバージョンが0.6.2以前の場合は、この脆弱性に影響を受けます。
この脆弱性を修正するには、@modelcontextprotocol/server-filesystemをバージョン0.6.4にアップグレードしてください。
現時点では、公開されているPoCは確認されていませんが、ファイルシステムアクセス制御の不備は攻撃者にとって魅力的な標的となり得ます。
公式アドバイザリは、Cymulateの報告書をご確認ください。