Antropik Model Bağlam Protokolü (MCP) dosya sistemi sunucusundaki iki yüksek şiddetli güvenlik açıkları, saldırganların sanal alan kısıtlamalarından kaçmasını ve ana bilgisayar sistemlerinde keyfi kod yürütmesini sağlar.
CVE-2025-53109 ve CVE-2025-53110 olarak adlandırılan güvenlik açıkları, 0.6.3’ten önceki tüm sürümleri etkiler ve AI uygulamalarının genellikle yüksek ayrıcalıklarla çalıştığı işletme ortamları arasında MCP benimseme hızlandıkça önemli bir güvenlik riskini temsil eder.
Key Takeaways
1. CVE-2025-53109 (CVSS 8.4) and CVE-2025-53110 (CVSS 7.3) were discovered in Anthropic's MCP Filesystem Server, allowing sandbox escape.
2. Naive prefix matching lets attackers access directories outside the allowed scope by crafting paths with shared prefixes.
3. Symbolic links bypass all restrictions, enabling filesystem-wide access and arbitrary code execution via Launch Agents.
4. Update to npm version 2025.7.1 immediately - released July 1, 2025, to fix both vulnerabilities.
Dizin Konutlama Bypass (CVE-2025-53110)
İlk güvenlik açığı, CVE-2025-53110 (CVSS skoru 7.3), saf önek eşleştirme doğrulaması yoluyla bir dizin içerme baypasından yararlanır.
Dosya sistemi MCP sunucusu, istenen yolların izin verilen dizinlere girip girmediğini doğrulamak için bir kontrol ile basit bir başlangıç kullanır.
Araştırmacılar, bir saldırganın/private/tmp/algılar/tmp/özel/tmp/tmp/algle_dir olduğunda/private/tmp/algılar/tmp/thmp/tmp olduğu zaman dizinlerine erişebileceğini gösterdiler.
SymLink Bypass kod yürütme (CVE-2025-53109)
İkinci, daha şiddetli güvenlik açığı CVE-2025-53109 (CVSS skoru 8.4) tam dosya sistemi erişimini elde etmek için sembolik bağlantı manipülasyonundan yararlanır.
Saldırganlar /etc /sudoers gibi hassas sistem dosyalarına işaret eden sembolik bağlantılar oluşturabilir. Sunucu, SymLink hedeflerini FS.RealPath () aracılığıyla doğrulamaya çalışırken, yakalama bloğunda kusurlu hata işleme bypass’ın başarılı olmasını sağlar.
Cymule Research Labs, saldırı zincirinin önce/private/tmp/algle_dir_evil adlı bir dizini oluşturmak için önek güvenlik açığından yararlanarak çalıştığını ve ardından kısıtlı dosyalara işaret eden bir sembolü yerleştirdiğini bildirir.
SymLink Hedefinde doğrulama başarısız olduğunda, kod, hedef yerine SymLink’in ana dizinini yanlış doğrular ve tam bir güvenlik bypass’ı sağlar.
Dosya erişiminin ötesinde, araştırmacılar bu güvenlik açıklarının macOS lansman aracıları aracılığıyla keyfi kod yürütülmesini nasıl sağladığını gösterdi.
Saldırganlar/kullanıcılar/kullanıcı adı/kütüphane/lansman/lansman/lansman gibi yerlere kötü niyetli.
| Cves | Tanım | Etkilenen ürünler | CVSS 3.1 puanı |
| CVE-2025-53110 | Dizin Kaplama Bypass Sandbox dışında yetkisiz dosya erişimine izin verir. | Antropik MCP Filessystem Server sürümleri 0.6.3 ve 2025.7.1’den önce | 7.3 (Yüksek) |
| CVE-2025-53109 | SymLink Bypass tam dosya sistemi erişimini etkinleştirir. | Antropik MCP Filessystem Server sürümleri 0.6.3 ve 2025.7.1’den önce | 8.4 (Yüksek) |
Antropic, her iki güvenlik açıkına da hitap eden 2025.7.1 sürümünde yamalar yayınladı.
Kuruluşlar derhal MCP uygulamalarını yükseltmeli ve potansiyel sömürü etkisini sınırlamak için en az ayrıcalık ilkesini uygulamalıdır.
Keşif, AI sistemleri kritik altyapı ve hassas veri sistemleri ile daha derin entegrasyon kazandıkça titiz güvenlik doğrulamasının önemini vurgulamaktadır.
Canlı kötü amaçlı yazılım davranışını araştırın, bir saldırının her adımını izleyin ve daha hızlı, daha akıllı güvenlik kararlarını alın -> Herhangi birini deneyin. Şimdi