L’article publié sur le blog ‘Embrace the Red’ le 3 août 2025, met en lumière une vulnérabilité découverte dans le serveur de fichiers MCP d’Anthropic, qui permettait aux systèmes d’IA tels que Claude Desktop de contourner les contrôles d’accès aux répertoires.
La faille provenait d’une validation incorrecte des chemins d’accès dans la fonction validatePath du fichier index.ts, utilisant une comparaison .startsWith pour vérifier les chemins de fichiers par rapport à une liste de répertoires autorisés. Cette méthode échouait à garantir que les chemins représentaient de véritables répertoires, permettant ainsi l’accès à tout fichier ou répertoire partageant le même préfixe que les répertoires autorisés.
Par exemple, si le répertoire /mnt/finance/data était autorisé, le système accordait également l’accès à /mnt/finance/data-archived ou à tout fichier commençant par /mnt/finance/data. Cette vulnérabilité a été corrigée par une réécriture du serveur de fichiers qui a introduit des mécanismes de validation de chemin appropriés.
L’article souligne que la vulnérabilité a été divulguée de manière responsable et corrigée dans les mises à jour ultérieures. Les produits concernés incluent le serveur MCP d’Anthropic et potentiellement les systèmes d’IA utilisant ce serveur.
Ce rapport est une publication de recherche visant à informer sur une vulnérabilité spécifique et les mesures prises pour la corriger.
🔗 Source originale : https://embracethered.com/blog/posts/2025/anthropic-filesystem-mcp-server-bypass/