1. 漏洞背景
Anthropic MCP(Model Context Protocol)是一个统一的框架,旨在让大型语言模型(LLM)能够通过标准化的服务器端点与文件系统、API和数据库进行交互。其中,Filesystem MCP Server是一个基于Node.js的模块,用于在指定的“允许”目录范围内执行文件操作(如读取、写入和列出目录),实现沙箱化管理。
2. 漏洞详情
近日,Anthropic的Filesystem MCP Server中披露了两个高危漏洞,攻击者可利用这些漏洞绕过沙箱限制,执行未授权操作。
-
CVE-2025-53110(路径遍历漏洞)
:该漏洞的根本原因在于,系统仅使用简单的字符串前缀匹配(
startswith
)来验证请求路径是否在允许的目录内。攻击者可以构造一个以允许目录名开头、但实际指向外部的路径,从而绕过此检查。
-
CVE-2025-53109(符号链接攻击)
:此漏洞更为严重,攻击者可将符号链接攻击与路径遍历漏洞结合。由于服务器在处理符号链接时错误处理不当,未能正确验证链接的真实目标路径,导致攻击者可以对系统上的任意文件进行读写操作,如修改
/etc/sudoers
等敏感文件。
攻击者通过结合利用这两个漏洞,最终可实现远程代码执行(RCE)。
3. 漏洞影响
-
远程代码执行
:攻击者可以利用这些漏洞在运行MCP服务器的系统上执行任意代码。例如,通过在macOS的
LaunchAgents
文件夹中植入恶意的
.plist
文件,实现用户登录时自动执行代码,进而部署勒索软件或数据窃取工具。
-
权限提升与系统接管
:攻击者能够读取或修改服务器上的敏感文件,破坏沙箱隔离机制。如果MCP服务器进程以root等高权限运行,攻击者可能获得服务器的完全控制权。
-
数据泄露
:攻击者可以访问指定范围之外的敏感数据,导致关键业务信息泄露。
4. 处置建议
-
版本检查
:所有使用Anthropic Filesystem MCP Server的用户应立即检查当前部署的软件版本。
-
更新修复
:Anthropic官方已于2025年7月1日发布了修复版本。强烈建议用户立即将Filesystem MCP Server升级至
2025.7.1
或更高版本,以消除漏洞风险。