Dva visoko-ozbiljna propusta u Anthropicovom Model Context Protocol (MCP) Filesystem Serveru omogućavaju napadačima da zaobiđu zaštitna ograničenja „sandbox“ okruženja i izvršavaju proizvoljan kod na serverskim sistemima.
Ovi propusti, označeni kao CVE-2025-53109 i CVE-2025-53110, utiču na sve verzije prije verzije 0.6.3 i predstavljaju značajan bezbjednosni rizik kako se MCP sve više usvaja u korporativnim okruženjima gdje AI aplikacije često rade sa proširenim ovlašćenjima.
Glavne tačke:
-
CVE-2025-53109 (CVSS 8.4) i CVE-2025-53110 (CVSS 7.3) otkriveni su u Anthropicovom MCP Filesystem Serveru, omogućavajući izlazak iz sandbox okruženja.
-
Neoprezno uparivanje prefiksa omogućava napadačima pristup direktorijumima izvan dozvoljenog opsega kreiranjem putanja sa zajedničkim prefiksima.
-
Simbolički linkovi (symlinks) zaobilaze sva ograničenja, omogućavajući pristup cijelom sistemu fajlova i izvršavanje proizvoljnog koda putem Launch Agents.
-
Odmah se ažurirajte na npm verziju 2025.7.1 – objavljenu 1. jula 2025. godine – kako biste ispravili oba propusta.
Zaobilaženje ograničenja direktorijuma (CVE-2025-53110)
Prvi propust, CVE-2025-53110 (CVSS ocjena 7.3), iskorištava zaobilaženje ograničenja direktorijuma putem jednostavne provjere podudaranja prefiksa. Filesystem MCP Server koristi osnovnu provjeru „start with“ kako bi potvrdio da li se tražene putanje nalaze unutar dozvoljenih direktorijuma. Istraživači su pokazali da napadač može pristupiti direktorijumima kao što je /private/tmp/allow_dir_sensitive_credentials kada je dozvoljeni direktorijum /private/tmp/allow_dir, budući da maliciozna putanja počinje odobrenim prefiksom.
Simlink zaobilaženjem do izvršavanja koda (CVE-2025-53109)
Drugi, ozbiljniji propust CVE-2025-53109 (CVSS ocjena 8.4) koristi manipulaciju simboličkim linkovima za postizanje potpunog pristupa sistemu fajlova. Napadači mogu kreirati simboličke linkove koji pokazuju na osjetljive sistemske fajlove poput /etc/sudoers. Iako server pokušava provjeriti mete simboličkih linkova putem fs.realpath(), pogrešno rukovanje greškama u catch bloku omogućava uspješno zaobilaženje.
Cymulate Research Labs izvještava da lanac napada funkcioniše tako što prvo iskorištava propust prefiksa za kreiranje direktorijuma nazvanog /private/tmp/allow_dir_evil, a zatim postavlja simbolički link unutar njega koji pokazuje na ograničene fajlove. Kada provjera mete simboličkog linka ne uspije, kod pogrešno provjerava roditeljski direktorijum samog simboličkog linka, umjesto mete, čime omogućava potpuno zaobilaženje bezbjednosnih mehanizama. Pored pristupa fajlovima, istraživači su pokazali kako ovi propusti omogućavaju proizvoljno izvršavanje koda putem macOS Launch Agents. Pisanjem malicioznih .plist fajlova na lokacije kao što je /Users/username/Library/LaunchAgents/, napadači mogu postići uporno izvršavanje koda sa korisničkim ovlašćenjima pri prijavljivanju.
Anthropic je objavio ispravke u verziji 2025.7.1 kojima se rješavaju oba propusta. Organizacije bi trebalo odmah ažurirati svoje MCP implementacije i primijeniti princip najmanjih privilegija kako bi ograničile potencijalni uticaj eksploatacije. Ovo otkriće naglašava važnost rigorozne bezbjednosne validacije kako AI sistemi dobijaju dublju integraciju sa kritičnom infrastrukturom i sistemima osjetljivih podataka.
Ovo upozorenje je objavljeno na mreži X i na blogu kompanije, ističući dva kritična propusta u Anthropicovom MCP Filesystem Serveru. Kao što je objašnjeno, propusti CVE-2025-53109 i CVE-2025-53110 omogućavaju napadačima izlazak iz bezbjednog sandbox okruženja i izvršavanje proizvoljnog koda na sistemima.
Upozorenje je povezano sa sve većom upotrebom MCP-a u preduzećima, gdje AI aplikacije često rade sa povlašćenim pristupom. Konkretan primjer napada uključuje maliciozno kreiranje simboličkih linkova koji ciljaju osjetljive sistemske fajlove. Na laički razumljiv način, ovo je slično kao kada bi neko, umjesto da uđe na službeni ulaz, pronašao skriveni prozor kako bi ušao u zgradu i pristupio povjerljivim dokumentima. Na primjer, napadač bi mogao iskoristiti propust kako bi stvorio alias za važnu sistemsku datoteku, a zatim bi manipulisao tim aliasom da dobije pristup cijelom sistemu. Dalje, ovo bi im moglo omogućiti da, na primjer, postave malicioznu datoteku koja se automatski pokreće pri svakom prijavljivanju korisnika, pružajući im trajni pristup sistemu. Ovi propusti su ispravljeni u verziji 2025.7.1, a preporučuje se hitno ažuriranje.
Ovo otkriće naglašava kritičnu potrebu za strogom bezbjednosnom verifikacijom, posebno kako AI tehnologije postaju integralni dio osjetljivih sistema i kritične infrastrukture. Kao što je istaknuto, akteri prijetnje koriste sofisticirane metode zaobilaženja bezbjednosti, stoga je proaktivno ažuriranje softvera i primjena principa najmanjih privilegija ključno za zaštitu od potencijalnih prijetnji.