Três Vulnerabilidades Críticas no mcp-server-git Anthropic Ameaçam o Seu Sistema de Servidores

Pesquisas de segurança recentes revelaram três vulnerabilidades graves no servidor oficial mcp-server-git da Anthropic que podem comprometer a segurança do sistema. O relatório da Odaily indica que essas vulnerabilidades são bastante preocupantes, pois podem ser ativadas através de ataques de injeção de prompt muito simples — apenas lendo um arquivo README malicioso ou acessando uma página web já modificada pelo atacante.

Cenário de Ataque Sem Necessidade de Acesso Direto ao Servidor

A característica mais perigosa dessa vulnerabilidade é a flexibilidade na sua exploração. Os atacantes não precisam penetrar diretamente no sistema alvo. Basta preparar conteúdo malicioso que seja lido pelo modelo de linguagem, e o sistema acionará automaticamente a vulnerabilidade. Essa combinação com o servidor MCP do sistema de arquivos cria o pior cenário: execução arbitrária de código, exclusão de arquivos do sistema ou leitura de conteúdo sensível de arquivos diretamente no contexto do grande modelo de linguagem.

Três CVEs e Suas Descrições Técnicas

Pesquisadores de segurança identificaram e categorizaram as falhas com os seguintes números oficiais:

CVE-2025-68143 relacionado ao git_init que não possui restrições adequadas. Os atacantes podem explorar essa condição para inicializar repositórios Git em locais não autorizados.

CVE-2025-68145 é uma bypass na validação de caminhos. Essa é a vulnerabilidade mais crítica, pois permite que atacantes contornem o controle de segurança de diretórios do sistema.

CVE-2025-68144 é uma injeção de parâmetros no comando git_diff. Manipulando esses parâmetros, o atacante pode alterar o comportamento do comando e abrir portas para execução de comandos maliciosos.

Como Funciona a Exploração Através do Bypass na Validação de Caminhos

Pesquisas da Cyata detalham por que essa vulnerabilidade é extremamente perigosa. Como o mcp-server-git não realiza validações rigorosas nos parâmetros repo_path, o atacante tem liberdade para criar repositórios Git em qualquer diretório dentro da estrutura do sistema. Em seguida, pode configurar filtros de limpeza específicos no arquivo .git/config, permitindo a execução de comandos Shell sem necessidade de permissões explícitas.

Atualizações de Correção e Recomendações Imediatas para Usuários

A Anthropic agiu rapidamente ao responder a essas descobertas. Eles atribuíram números CVE oficiais a cada vulnerabilidade e lançaram patches de correção em 17 de dezembro de 2025. Para usuários do mcp-server-git, uma ação crucial é atualizar para a versão 2025.12.18 ou superior. Essa atualização inclui correções para as três vulnerabilidades descritas anteriormente.

Diante do risco de segurança sério, a atualização não é apenas recomendada, mas obrigatória para garantir a máxima proteção contra ataques que explorem essas falhas.