AnthropicのMCP Git サーバーに発見された3つのパスパラメータ脆弱性、リモートコード実行が可能に

Anthropicが管理するmcp-server-gitのセキュリティ問題がクローズアップされています。Cyataの研究チームが1月21日に指摘した3件の深刻な脆弱性（CVE-2025-68143、CVE-2025-68144、CVE-2025-68145）は、パスパラメータの不適切な検証が原因となっており、悪用されるとシステムへの直接的なアクセスを許す可能性があります。

パストラバースとパスパラメータ操作による遠隔コード実行のリスク

これらの脆弱性の核心は、パスパラメータの検証が不十分であることにあります。攻撃者はディレクトリトラバーサル技術を悪用して、通常アクセス不可のファイルにたどり着くことができます。さらに悪質な点として、パスパラメータへの不正な値の挿入を通じて、リモートコード実行（RCE）を遠隔から実行する可能性さえあるということです。

ファイルアクセスに関する制限を回避した攻撃者は、任意のコマンドを実行できるようになり、システム全体が危険な状態に陥ります。The Hacker Newsの報道によれば、このような多層的な脆弱性の組み合わせは、セキュリティ体系全体を破壊する恐れがあります。

プロンプトインジェクション攻撃がパスパラメータ脆弱性を武器化

より懸念される点は、これらのパスパラメータ脆弱性がプロンプトインジェクション技術と組み合わされる可能性です。AIアシスタントに悪意のあるコマンドを含むプロンプトを入力させるだけで、攻撃者はmcp-server-gitの脆弱性を自動的に悪用できます。

ユーザーが気づかないうちに、AIが攻撃者の指令を遂行し、システムのパスパラメータを操作してファイルを盗み出す、あるいはマルウェアを注入されるといったシナリオが現実化する恐れがあります。この攻撃手法の自動化される特性が、脅威レベルをさらに高めています。

パスパラメータ検証の強化と即座のアップデート対応

Anthropicは2025年9月版と12月版でこれら3つの脆弱性に対するパッチを施しています。具体的には、git_initツールの削除と、パスパラメータに対する検証ロジックの大幅な強化が実装されました。

利用者の方は、できるだけ迅速に最新バージョンへのアップデートを推奨します。パスパラメータの適切な検証は、クラウド環境やAIシステムにおける基本的なセキュリティ対策であり、このような脆弱性の再発防止に向けた継続的なモニタリングが不可欠です。