CVE-2025-53110 — @modelcontextprotocol/server-filesystem vulnerability allows for path validation

描述

Versions of Filesystem prior to 0.6.3 & 2025.7.1 could allow access to unintended files in cases where the prefix matches an allowed directory. Users are advised to upgrade to 2025.7.1 to resolve the issue. Thank you to Elad Beber (Cymulate) for reporting these issues.

如何修補 CVE-2025-53110

目前尚未發布修補版本。可考慮移除受影響套件,或參考下方連結中的上游建議。

npm/@modelcontextprotocol/server-filesystem—未列出修補版本

CVE-2025-53110 正在被利用嗎?

低 — EPSS 為 0.3%,目前沒有觀察到大規模利用活動。

受影響套件(1)

from 0, <= 0.6.2

CVSS 分數

來源	版本	嚴重程度	向量
osv	CVSS 4.0	—	CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:P/VC:N/VI:N/VA:H/SC:H/SI:H/SA:H

參考連結(4)

ADVISORYnvd.nist.gov/vuln/detail/CVE-2025-53110
PATCHgithub.com/modelcontextprotocol/servers
WEBgithub.com/modelcontextprotocol/servers/commit/cc99bdabdcad93a58877c5f3ab20e21d4394423d
WEBgithub.com/modelcontextprotocol/servers/security/advisories/GHSA-hc55-p739-j48w