Plataforma
nodejs
Componente
@modelcontextprotocol/server-filesystem
Corrigido em
0.6.5
0.6.3
A vulnerabilidade CVE-2025-53110 afeta o componente @modelcontextprotocol/server-filesystem em versões anteriores a 0.6.3 e 2025.7.1. Esta falha permite o acesso a arquivos não intencionais quando o prefixo corresponde a um diretório permitido, representando um risco para a confidencialidade dos dados. A atualização para a versão 0.6.4 resolve o problema, corrigindo a lógica de controle de acesso. A vulnerabilidade foi reportada por Elad Beber da Cymulate.
Um atacante pode explorar esta vulnerabilidade para acessar arquivos que não deveriam estar acessíveis, potencialmente expondo informações confidenciais armazenadas no sistema. O impacto pode variar dependendo da natureza dos arquivos acessíveis, mas pode incluir dados de usuários, chaves de API, informações de configuração ou outros dados sensíveis. A exploração bem-sucedida pode levar à violação de dados, comprometimento do sistema ou até mesmo acesso não autorizado a outros recursos da rede. Embora não haja relatos públicos de exploração ativa, a facilidade de exploração e o potencial impacto tornam esta vulnerabilidade uma preocupação significativa.
A vulnerabilidade foi divulgada em 2025-07-01. Não está listada no KEV (CISA Known Exploited Vulnerabilities) no momento da redação. A pontuação EPSS (Exploit Prediction Scoring System) provavelmente será classificada como média devido à disponibilidade de informações sobre a vulnerabilidade e seu potencial impacto. Não há public proof-of-concept (PoC) amplamente divulgados no momento, mas a descrição da vulnerabilidade sugere que a exploração é relativamente simples.
Applications and services that rely on the @modelcontextprotocol/server-filesystem package for file access are at risk. This includes Node.js applications using this package as a dependency. Specifically, deployments with relaxed file permissions or those that handle user-supplied file paths without proper sanitization are particularly vulnerable.
• nodejs: Monitor for requests containing unusual prefixes in file access paths. Use console.log or a debugging tool to inspect the paths being accessed.
• nodejs: Examine the require statements in your application to ensure you are using a patched version of @modelcontextprotocol/server-filesystem (version 0.6.4 or later).
• generic web: Review access logs for unusual file access patterns, particularly those involving directory traversal attempts or unexpected file extensions.
disclosure
Status do Exploit
EPSS
0.07% (percentil 22%)
CISA SSVC
A mitigação primária para CVE-2025-53110 é a atualização para a versão 0.6.4 do @modelcontextprotocol/server-filesystem. Se a atualização imediata não for possível, considere implementar medidas de controle de acesso mais rigorosas para restringir o acesso a arquivos sensíveis. Implementar regras de firewall para limitar o acesso à API do servidor de arquivos, restringindo as solicitações apenas a fontes confiáveis, pode ajudar a reduzir a superfície de ataque. Monitore os logs do sistema em busca de atividades suspeitas, como tentativas de acesso a arquivos não autorizados.
Actualice la biblioteca `modelcontextprotocol/servers` a la versión 0.6.4 o superior. Esto corregirá la vulnerabilidad de omisión de validación de ruta. Puede actualizar usando el gestor de paquetes que utilice, como `pip install modelcontextprotocol/servers==0.6.4`.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2025-53110 is a high-severity vulnerability in @modelcontextprotocol/server-filesystem versions up to 0.6.2. It allows attackers to access unintended files due to a prefix matching flaw.
You are affected if you are using @modelcontextprotocol/server-filesystem versions 0.6.2 or earlier. Upgrade to 0.6.4 or later to resolve the issue.
Upgrade to version 0.6.4 or later of the @modelcontextprotocol/server-filesystem package. Implement stricter input validation on file access requests as a temporary workaround.
There is currently no indication of active exploitation campaigns targeting this vulnerability, but a PoC could be developed easily.
Refer to the advisory published by the @modelcontextprotocol/server-filesystem project, which is likely available on their GitHub repository or website.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.