Dva visoko-ozbiljna propusta u Anthropicovom Model Context Protocol (MCP) Filesystem Serveru omogućavaju napadačima da zaobiđu zaštitna ograničenja “sandbox” okruženja i izvršavaju proizvoljan kod na serverskim sistemima.
Ovi propusti, označeni kao CVE-2025-53109 i CVE-2025-53110, utiču na sve verzije prije verzije 0.6.3 i predstavljaju značajan bezbjednosni rizik kako se MCP sve više usvaja u korporativnim okruženjima gdje AI aplikacije često rade sa proširenim ovlastima.
Glavne tačke:
* CVE-2025-53109 (CVSS 8.4) i CVE-2025-53110 (CVSS 7.3) otkriveni su u Anthropicovom MCP Filesystem Serveru, omogućavajući izlazak iz sandbox okruženja.
* Neoprezno uparivanje prefiksa omogućava napadačima pristup direktorijumima izvan dozvoljenog opsega kreiranjem putanja sa zajedničkim prefiksima.
* Simbolički linkovi (symlinks) zaobilaze sva ograničenja, omogućavajući pristup cijelom sistemu datoteka i izvršavanje proizvoljnog koda putem Launch Agents.
* Odmah se ažurirajte na npm verziju 2025.7.1 – objavljena 1. jula 2025. godine, kako biste ispravili oba propusta.
Zaobilaženje ograničenja direktorija (CVE-2025-53110)
Prvi propust, CVE-2025-53110 (CVSS ocjena 7.3), iskorištava zaobilaženje ograničenja direktorija putem jednostavne provjere podudaranja prefiksa. Filesystem MCP Server koristi osnovnu provjeru “start with” kako bi potvrdio da li se tražene putanje nalaze unutar dozvoljenih direktorija. Istraživači su pokazali da napadač može pristupiti direktorijumima kao što je /private/tmp/allow_dir_sensitive_credentials kada je dozvoljeni direktorijum /private/tmp/allow_dir, budući da zlonamjerna putanja počinje odobrenim prefiksom.
Simlink zaobilaženjem do izvršavanja koda (CVE-2025-53109)
Drugi, ozbiljniji propust CVE-2025-53109 (CVSS ocjena 8.4) koristi manipulaciju simboličkim linkovima za postizanje potpunog pristupa sistemu datoteka. Napadači mogu kreirati simboličke linkove koji pokazuju na osjetljive sistemske datoteke poput /etc/sudoers. Iako server pokušava provjeriti mete simboličkih linkova putem fs.realpath(), pogrešno rukovanje greškama u catch bloku omogućava uspješno zaobilaženje.
Cymulate Research Labs izvještava da lanac napada funkcioniše tako što prvo iskorištava propust prefiksa za kreiranje direktorijuma nazvanog /private/tmp/allow_dir_evil, a zatim postavlja simbolički link unutar njega koji pokazuje na ograničene datoteke. Kada provjera mete simboličkog linka ne uspije, kod pogrešno provjerava roditeljski direktorijum samog simboličkog linka, umjesto mete, čime omogućava potpuno zaobilaženje sigurnosti. Pored pristupa datotekama, istraživači su pokazali kako ovi propusti omogućavaju proizvoljno izvršavanje koda putem macOS Launch Agents. Pisanjem zlonamjernih .plist datoteka na lokacije kao što je /Users/username/Library/LaunchAgents/, napadači mogu postići uporno izvršavanje koda sa korisničkim ovlastima pri prijavljivanju.
Anthropic je objavio ispravke u verziji 2025.7.1 kojima se rješavaju oba propusta. Organizacije bi trebale odmah ažurirati svoje MCP implementacije i primijeniti princip najmanjih privilegija kako bi ograničile potencijalni uticaj eksploatacije. Ovo otkriće naglašava važnost rigorozne sigurnosne validacije kako AI sistemi dobijaju dublju integraciju sa kritičnom infrastrukturom i sistemima osjetljivih podataka.
Ovo upozorenje je objavljeno na mreži X i na blogu kompanije, ističući dva kritična propusta u Anthropicovom MCP Filesystem Serveru. Kao što je objašnjeno, propusti CVE-2025-53109 i CVE-2025-53110 omogućavaju napadačima izlazak iz sigurnog sandbox okruženja i izvršavanje proizvoljnog koda na sistemima.
Upozorenje je povezano sa sve većom upotrebom MCP-a u preduzećima, gdje AI aplikacije često rade sa povlašćenim pristupom. Konkretan primjer napada uključuje zlonamjerno kreiranje simboličkih linkova koji ciljaju osjetljive sistemske datoteke. Na laički razumljiv način, ovo je slično kao kada bi neko, umjesto da uđe na službeni ulaz, pronašao skriveni prozor kako bi ušao u zgradu i pristupio povjerljivim dokumentima. Na primjer, napadač bi mogao iskoristiti propust kako bi stvorio alias za važnu sistemsku datoteku, a zatim bi manipulisao tim aliasom da dobije pristup cijelom sistemu. Dalje, ovo bi im moglo omogućiti da, na primjer, postave zlonamjernu datoteku koja se automatski pokreće pri svakom prijavljivanju korisnika, pružajući im trajni pristup sistemu. Ovi propusti su ispravljeni u verziji 2025.7.1, a preporučuje se hitno ažuriranje.
Ovo otkriće naglašava kritičnu potrebu za strogom sigurnosnom verifikacijom, posebno kako AI tehnologije postaju integralni dio osjetljivih sistema i kritične infrastrukture. Kao što je istaknuto, napadači koriste sofisticirane metode zaobilaženja sigurnosti, stoga je proaktivno ažuriranje softvera i primjena principa najmanjih privilegija ključno za zaštitu od potencijalnih prijetnji.