Dos vulnerabilidades de alta severidad en el servidor de archivos del sistema de contexto de modelos de Anthrope (MCP) permiten a los atacantes a escapar de las restricciones de sandbox y ejecutar código arbitrario en los sistemas host.
Las vulnerabilidades, designadas CVE-2025-53109 y CVE-2025-53110, afectan todas las versiones antes de 0.6.3 y representan un riesgo de seguridad significativo a medida que la adopción de MCP acelera en entornos empresariales donde las aplicaciones de IA a menudo se ejecutan con privilegios elevados.
Control de llave
1.
2. Matriota de prefijo ingenuo permite a los atacantes acceder a directorios fuera del alcance permitido mediante la elaboración de caminos con prefijos compartidos.
3. Los enlaces simbólicos evitan todas las restricciones, habilitando el acceso del sistema de archivos y la ejecución de código arbitrario a través de agentes de lanzamiento.
4. Actualización a NPM versión 2025.7.1 inmediatamente – lanzado el 1 de julio de 2025 para corregir ambas vulnerabilidades.
Bypass de contención de directorio (CVE-2025-53110)
La primera vulnerabilidad, CVE-2025-53110 (puntaje CVSS 7.3), explota una contención de directorio omitido a través de la validación ingenua de coincidencia de prefijo.
El servidor MCP del sistema de archivos utiliza un comienzo simple con una verificación para verificar si las rutas solicitadas caen dentro de los directorios permitidos.
Los investigadores demostraron que un atacante puede acceder a directorios como/privado/tmp/dign_dir_sensitive_credentials cuando el directorio permitido es/privado/tmp/telling_dir, ya que la ruta maliciosa comienza con el prefijo aprobado.
Symlink Bypass a la ejecución del código (CVE-2025-53109)
La segunda vulnerabilidad más severa CVE-2025-53109 (puntaje CVSS 8.4) aprovecha la manipulación del enlace simbólico para lograr el acceso completo al sistema de archivos.
Los atacantes pueden crear enlaces simbólicos que apuntan a archivos del sistema sensibles como /etc /sudoers. Mientras que el servidor intenta validar los objetivos de enlace SYMA a través de Fs.RealPath (), el manejo de errores defectuosos en el bloque de captura permite que la derivación tenga éxito.
Laboratorios de investigación cimulados informes que la cadena de ataque funciona explotando primero la vulnerabilidad del prefijo para crear un directorio llamado/privado/tmp/allow_dir_evil, luego colocando un enlace simbólico en el interior apuntando a archivos restringidos.
Cuando la validación falla en el objetivo de enlace SYM, el código valida incorrectamente el directorio principal del mismo enlace en lugar del objetivo, lo que permite un bypass de seguridad completo.
Más allá del acceso a los archivos, los investigadores demostraron cómo estas vulnerabilidades habilitan la ejecución del código arbitrario a través de los agentes de lanzamiento de MacOS.
Al escribir archivos maliciosos. Planticias a ubicaciones como/usuarios/nombre de usuario/biblioteca/lanzador/, los atacantes pueden lograr la ejecución de código persistente con privilegios de usuario al inicio de sesión.
CVESDESDESCONTRITARILLO PRODUCTSCVSS 3.1 SCORECVE-2025-53110DIRECTORY BYPASS Permitiendo acceso a archivos no autorizado fuera del sandbox.anthropic MCP FileSystem Servidor Versiones del servidor Bynstem Bypass antes de los archivos completos de los archivos completos. 0.6.3 y 2025.7.18.4 (alto)
Anthrope ha lanzado parches en la versión 2025.7.1 que abordan ambas vulnerabilidades.
Las organizaciones deben actualizar inmediatamente sus implementaciones de MCP y aplicar el principio de menor privilegio para limitar el impacto potencial de explotación.
El descubrimiento destaca la importancia de la rigurosa validación de seguridad a medida que los sistemas de IA obtienen una integración más profunda con infraestructura crítica y sistemas de datos confidenciales.
Investigue el comportamiento de malware en vivo, rastree cada paso de un ataque y tome decisiones de seguridad más rápidas y inteligentes -> Prueba cualquiera.
