Odaily Planet Newsによると、Anthropicが管理する公式mcp-server-gitで3つのセキュリティ脆弱性が発見されました。これらの脆弱性は、プロンプトインジェクション攻撃を通じて悪用される可能性があり、攻撃者は被害者のシステムに直接アクセスすることなく、悪意のあるREADMEファイルや改ざんされたウェブページを通じてこの脆弱性をトリガーすることができるといいます。
これらの脆弱性には、CVE-2025-68143(制限なしの git_init)、CVE-2025-68145(パス検証の回避)、および CVE-2025-68144(git_diff 内のパラメータ注入)が含まれます。これらの脆弱性がファイルシステム MCP サーバーと組み合わされた場合、攻撃者は任意のコードを実行し、システムファイルを削除したり、任意のファイルの内容を大規模言語モデルのコンテキストに読み込むことが可能になります。
Cyata は、mcp-server-git が repo_path パラメータに対してパスの検証を行っていなかったため、攻撃者はシステム上の任意のディレクトリに Git リポジトリを作成できると指摘しています。さらに、.git/config にクリーンフィルタを設定することで、実行権限なしでシェルコマンドを実行できると述べています。Anthropic は 2025 年 12 月 17 日に CVE 番号を割り当て、修正パッチを提出しました。mcp-server-git を 2025.12.18 またはそれ以降のバージョンに更新することを推奨します。(cyata)