Le serveur MCP officiel d'Anthropic Git présente plusieurs vulnérabilités de sécurité, permettant la lecture et l'écriture de fichiers ainsi qu'une exécution de code à distance potentielle

Odaily星球日报讯 Anthropic 维护的官方 mcp-server-git 中发现三个安全漏洞。这些漏洞可被通过提示词注入攻击手段利用,攻击者在无需直接访问受害者系统的情况下,通过恶意 README 文件或受损网页即可触发漏洞。

这些漏洞包括:CVE-2025-68143(未限制的 git_init)、CVE-2025-68145(路径验证绕过)以及 CVE-2025-68144(git_diff 中的参数注入)。若将这些漏洞与文件系统 MCP 服务器结合使用,攻击者可执行任意代码、删除系统文件,或将任意文件内容读取至大语言模型上下文中。

Cyata 指出,由于 mcp-server-git 未对 repo_path 参数进行路径校验,攻击者可在系统任意目录创建 Git 仓库。此外,通过在.git/config 中配置清理过滤器,攻击者可在无需执行权限的情况下运行 Shell 命令。Anthropic 已于 2025 年 12 月 17 日分配 CVE 编号并提交修复补丁。建议用户将 mcp-server-git 更新至 2025.12.18 或更高版本。(cyata)

Avertissement : Les informations figurant sur cette page peuvent provenir de sources tierces et sont fournies à titre indicatif uniquement. Elles ne reflètent pas les points de vue ou opinions de Gate et ne constituent pas un conseil financier, d’investissement ou juridique. Le trading des actifs virtuels comporte des risques élevés. Veuillez ne pas vous fonder uniquement sur les informations de cette page pour prendre vos décisions. Pour en savoir plus, consultez l’avertissement.
Commentaire
0/400
Aucun commentaire