HIGHCVE-2025-53110CVSS 7.5

@modelcontextprotocol/server-filesystem 漏洞允许通过冲突的路径前缀绕过路径验证

Q: 我是否受到 CVE-2025-53110 在 @modelcontextprotocol/server-filesystem 中影响？

如果您正在使用 @modelcontextprotocol/server-filesystem 的 0.6.2 或更早版本，则可能受到此漏洞的影响。

Q: 我如何修复 CVE-2025-53110 在 @modelcontextprotocol/server-filesystem 中？

升级到 @modelcontextprotocol/server-filesystem 的 0.6.4 或更高版本是修复此漏洞的最佳方法。

Q: CVE-2025-53110 是否正在被积极利用？

目前没有已知的公开利用程序，但存在被利用的风险。

Q: 在哪里可以找到 @modelcontextprotocol/server-filesystem 的官方 CVE-2025-53110 安全公告？

请查阅 @modelcontextprotocol/server-filesystem 的官方文档或 GitHub 仓库以获取更多信息。

平台

nodejs

组件

@modelcontextprotocol/server-filesystem

修复版本

0.6.5

0.6.3

AI Confidence: highNVDEPSS 0.1%已审阅: 2026年5月

在NVD查看

保存

CVE-2025-53110 描述了 @modelcontextprotocol/server-filesystem 组件中的文件访问漏洞。该漏洞允许攻击者在某些情况下访问未经授权的文件，具体表现为前缀匹配允许目录时绕过访问控制。受影响的版本包括 0.6.2 及更早版本，建议用户升级到 0.6.4 版本以解决此安全问题。

影响与攻击场景

该漏洞的潜在影响是严重的安全风险。攻击者可以利用此漏洞访问敏感数据，例如配置文件、密钥、数据库连接信息或其他存储在服务器文件系统中的机密信息。如果攻击者能够访问这些数据，他们可能能够进一步破坏系统，例如执行恶意代码、窃取用户凭据或进行横向移动以访问其他系统。由于该漏洞依赖于前缀匹配，攻击者需要了解目标文件系统的结构才能成功利用，但一旦成功，其影响范围可能相当广泛。

利用背景

该漏洞已公开披露，并由 Elad Beber (Cymulate) 报告。目前没有已知的公开利用程序 (PoC)，但由于漏洞的性质，存在被利用的风险。CISA 尚未将其添加到 KEV 目录中。漏洞的概率评估取决于攻击者对目标文件系统结构的了解程度。

哪些人处于风险中翻译中…

Applications and services that rely on the @modelcontextprotocol/server-filesystem package for file access are at risk. This includes Node.js applications using this package as a dependency. Specifically, deployments with relaxed file permissions or those that handle user-supplied file paths without proper sanitization are particularly vulnerable.

检测步骤翻译中…

• nodejs: Monitor for requests containing unusual prefixes in file access paths. Use console.log or a debugging tool to inspect the paths being accessed. • nodejs: Examine the require statements in your application to ensure you are using a patched version of @modelcontextprotocol/server-filesystem (version 0.6.4 or later). • generic web: Review access logs for unusual file access patterns, particularly those involving directory traversal attempts or unexpected file extensions.

攻击时间线

2025-07-01Disclosure
disclosure

威胁情报

漏洞利用状态

概念验证未知

CISA KEVNO

EPSS

0.07% (22% 百分位)

CISA SSVC

利用情况none

可自动化no

技术影响partial

受影响的软件

组件@modelcontextprotocol/server-filesystem

供应商osv

影响范围修复版本

< 0.6.4 – < 0.6.40.6.5

< 2025.7.01 – < 2025.7.01—

0.6.20.6.3

弱点分类 (CWE)

CWE-22

时间线

已保留2025-06-25
发布日期2025-07-01
修改日期2025-07-02
EPSS 更新日期2026-03-23

缓解措施和替代方案

最有效的缓解措施是立即升级到 @modelcontextprotocol/server-filesystem 的 0.6.4 版本或更高版本。如果由于兼容性问题无法立即升级，可以考虑以下临时缓解措施：限制服务器文件系统的访问权限，只允许必要的用户和进程访问敏感文件。实施严格的前缀匹配规则，确保只有授权目录才能被访问。监控文件系统活动，检测任何异常访问模式。在升级后，请验证文件访问权限是否已正确配置，并确认漏洞已成功修复。

修复方法翻译中…

Actualice la biblioteca `modelcontextprotocol/servers` a la versión 0.6.4 o superior. Esto corregirá la vulnerabilidad de omisión de validación de ruta. Puede actualizar usando el gestor de paquetes que utilice, como `pip install modelcontextprotocol/servers==0.6.4`.

CVE 安全通讯

漏洞分析和关键警报直接发送到您的邮箱。

常见问题

什么是 CVE-2025-53110 — 文件访问漏洞在 @modelcontextprotocol/server-filesystem 中？

CVE-2025-53110 描述了 @modelcontextprotocol/server-filesystem 组件中存在的文件访问漏洞，允许攻击者在特定条件下访问未经授权的文件。

我是否受到 CVE-2025-53110 在 @modelcontextprotocol/server-filesystem 中影响？