El servidor MCP oficial de Anthropic Git presenta múltiples vulnerabilidades de seguridad que permiten lectura y escritura de archivos y potencialmente ejecución remota de código

GateNewsBot

2026-01-21 00:22:52

Odaily星球日报讯 Anthropic 维护的官方 mcp-server-git 中发现三个安全漏洞。这些漏洞可被通过提示词注入攻击手段利用，攻击者在无需直接访问受害者系统的情况下，通过恶意 README 文件 o受损网页即可触发漏洞。

这些漏洞包括：CVE-2025-68143（未限制的 git_init）、CVE-2025-68145（路径验证绕过）以及 CVE-2025-68144（git_diff 中的参数注入）。若将这些漏洞与文件系统 MCP 服务器结合使用，攻击者可执行任意代码、删除系统文件，或将任意文件内容读取至大语言模型上下文中。

Cyata 指出，由于 mcp-server-git 未对 repo_path 参数进行路径校验，攻击者可在系统任意目录创建 Git 仓库。此外，通过在.git/config 中配置清理过滤器，攻击者可在无需执行权限的情况下运行 Shell 命令。Anthropic 已于 2025 年 12 月 17 日分配 CVE 编号并提交修复补丁。建议用户将 mcp-server-git 更新至 2025.12.18 或更高版本。（cyata）

Ver originales

Aviso legal: La información de esta página puede proceder de terceros y no representa los puntos de vista ni las opiniones de Gate. El contenido que aparece en esta página es solo para fines informativos y no constituye ningún tipo de asesoramiento financiero, de inversión o legal. Gate no garantiza la exactitud ni la integridad de la información y no se hace responsable de ninguna pérdida derivada del uso de esta información. Las inversiones en activos virtuales conllevan riesgos elevados y están sujetas a una volatilidad significativa de los precios. Podrías perder todo el capital invertido. Asegúrate de entender completamente los riesgos asociados y toma decisiones prudentes de acuerdo con tu situación financiera y tu tolerancia al riesgo. Para obtener más información, consulta el Aviso legal.

Comentar

0/400

Sin comentarios