关键漏洞信息 漏洞概述 漏洞名称: Files or Directories Accessible to External Parties 受影响包: mcp-markdownify-server 引入日期: 2025年5月28日 CVE编号: CVE-2025-3273, CWE-552 严重性评分: 8.2 (高) 漏洞详情 描述: 受影响版本的mcp-markdownify-server包通过get-markdown-file工具易受外部访问文件或目录的影响。攻击者可以构造一个提示,一旦被MCP主机访问,将允许其读取主机上运行服务器的任意文件。 修复建议: 已在master分支中推送修复,但尚未发布。 CVSS Base Scores 版本4.0 - Attack Vector (AV): Network - Attack Complexity (AC): Low - Attack Requirements (AT): None - Privileges Required (PR): None - User Interaction (UI): Active - Confidentiality (VC): High - Integrity (VI): None - Availability (VA): None - Confidentiality (SC): High - Integrity (SI): None - Availability (SA): None 其他信息 Snyk ID: SNYK-JS-MCPMARKDOWNIFYSERVER-10249193 发布日期: 2025年5月28日 披露日期: 2025年5月28日 报告人: Raul Onitza-Klugman (Snyk Security Research)