Le serveur MCP officiel d'Anthropic Git présente plusieurs vulnérabilités de sécurité, permettant la lecture et l'écriture de fichiers ainsi qu'une exécution de code à distance potentielle

GateNewsBot

2026-01-21 00:22:52

Odaily星球日报讯 Anthropic 维护的官方 mcp-server-git 中发现三个安全漏洞。这些漏洞可被通过提示词注入攻击手段利用，攻击者在无需直接访问受害者系统的情况下，通过恶意 README 文件或受损网页即可触发漏洞。

这些漏洞包括：CVE-2025-68143（未限制的 git_init）、CVE-2025-68145（路径验证绕过）以及 CVE-2025-68144（git_diff 中的参数注入）。若将这些漏洞与文件系统 MCP 服务器结合使用，攻击者可执行任意代码、删除系统文件，或将任意文件内容读取至大语言模型上下文中。

Cyata 指出，由于 mcp-server-git 未对 repo_path 参数进行路径校验，攻击者可在系统任意目录创建 Git 仓库。此外，通过在.git/config 中配置清理过滤器，攻击者可在无需执行权限的情况下运行 Shell 命令。Anthropic 已于 2025 年 12 月 17 日分配 CVE 编号并提交修复补丁。建议用户将 mcp-server-git 更新至 2025.12.18 或更高版本。（cyata）

Voir l'original

Avertissement : Les informations contenues dans cette page peuvent provenir de tiers et ne représentent pas les points de vue ou les opinions de Gate. Le contenu de cette page est fourni à titre de référence uniquement et ne constitue pas un conseil financier, d'investissement ou juridique. Gate ne garantit pas l'exactitude ou l'exhaustivité des informations et n'est pas responsable des pertes résultant de l'utilisation de ces informations. Les investissements en actifs virtuels comportent des risques élevés et sont soumis à une forte volatilité des prix. Vous pouvez perdre la totalité du capital investi. Veuillez comprendre pleinement les risques pertinents et prendre des décisions prudentes en fonction de votre propre situation financière et de votre tolérance au risque. Pour plus de détails, veuillez consulter l'avertissement.

Commentaire

0/400

Aucun commentaire