Anthropic公式Git MCPサーバーに複数のセキュリティ脆弱性が存在し、ファイルの読み書きや潜在的なリモートコード実行が可能

Odailyのニュースです。Anthropicがメンテナンスする公式のmcp-server-gitで3つのセキュリティ脆弱性が発見されました。これらの脆弱性は、プロンプトインジェクション攻撃の手法を通じて悪用される可能性があり、攻撃者は被害者のシステムに直接アクセスすることなく、悪意のあるREADMEファイルや侵害されたウェブページを通じて脆弱性をトリガーできます。

これらの脆弱性には以下が含まれます：CVE-2025-68143（制限されていないgit_init）、CVE-2025-68145（パス検証のバイパス）、およびCVE-2025-68144（git_diffにおける引数インジェクション）。これらの脆弱性をファイルシステムMCPサーバーと組み合わせて使用すると、攻撃者は任意のコードを実行したり、システムファイルを削除したり、任意のファイルの内容を大規模言語モデルのコンテキストに読み込んだりすることができます。

Cyataは、mcp-server-gitがrepo_pathパラメータのパス検証を行わないため、攻撃者はシステムの任意のディレクトリにGitリポジトリを作成できると指摘しています。さらに、.git/configでクリーンフィルターを設定することで、攻撃者は実行権限なしでシェルコマンドを実行できます。Anthropicは2025年12月17日にCVE番号を割り当て、修正パッチを提出しました。ユーザーはmcp-server-gitを2025.12.18以降のバージョンに更新することをお勧めします。（cyata）