Halaman Utama
Berita
Butiran

Pelayan Git MCP Rasmi Anthropic Dijumpai Mempunyai Pelbagai Kekurangan Keselamatan

iconKuCoinFlash
Kongsi
Share IconShare IconShare IconShare IconShare IconShare IconCopy
AI summary iconRingkasan

expand icon
Satu kebocoran keselamatan telah dikesan dalam mcp-server-git rasmi Anthropic, yang mengandungi tiga kelemahan yang boleh diserang melalui serangan penembusan prompt. Pengganas boleh menggunakan fail README jahat atau laman web yang terjejas untuk memicu kelemahan seperti CVE-2025-68143, CVE-2025-68145, dan CVE-2025-68144. Ini boleh menyebabkan pelaksanaan kod secara rawak atau penghapusan fail. Laporan berita berantai mencatatkan parameter repo_path tidak mempunyai pengesahan laluan, membenarkan pembuatan repositori Git dalam direktori sistem mana-mana. Anthropic telah memperbaiki masalah ini pada 17 Disember 2025. Pengguna sepatutnya memasang semula ke versi 2025.12.18 atau lebih tinggi.

Odaily Planet Daily News: Tiga lubang keselamatan dikesan dalam mcp-server-git rasmi yang diurus oleh Anthropic. Lubang ini boleh diserang melalui kaedah penembusan arahan, di mana penggodam boleh memicu kelemahan tersebut melalui fail README jahat atau laman web rosak tanpa memerlukan akses terus ke sistem mangsa.

Lubang ini merangkumi CVE-2025-68143 (git_init tanpa had), CVE-2025-68145 (pemalangsaan pengesahan lalai), dan CVE-2025-68144 (penyuntikan parameter dalam git_diff). Jika disambungkan dengan pelayan MCP sistem fail, penyerang boleh melaksanakan kod sejak mana, memadamkan fail sistem, atau membaca kandungan fail sejak mana ke dalam konteks model bahasa besar.

Cyata merujuk bahawa disebabkan oleh mcp-server-git tidak memvalidasi laluan parameter repo_path, penyerang boleh mencipta repositori Git di direktori mana-mana dalam sistem. Selain itu, dengan mengkonfigurkan penapis pembersihan dalam .git/config, penyerang boleh melaksanakan arahan Shell tanpa keperluan kebenaran melaksanakan. Anthropic telah mengagihkan nombor CVE dan mengemukakan patch pindaan pada 17 Disember 2025. Pengguna disarankan untuk mengemaskini mcp-server-git kepada versi 2025.12.18 atau lebih tinggi. (cyata)

Sumber:Tunjukkan artikel asal
Penafian: Maklumat yang terdapat pada halaman ini mungkin telah diperoleh daripada pihak ketiga dan tidak semestinya menggambarkan pandangan atau pendapat KuCoin. Kandungan ini adalah disediakan bagi tujuan maklumat umum sahaja, tanpa sebarang perwakilan atau waranti dalam apa jua bentuk, dan juga tidak boleh ditafsirkan sebagai nasihat kewangan atau pelaburan. KuCoin tidak akan bertanggungjawab untuk sebarang kesilapan atau pengabaian, atau untuk sebarang akibat yang terhasil daripada penggunaan maklumat ini. Pelaburan dalam aset digital boleh membawa risiko. Sila menilai risiko produk dan toleransi risiko anda dengan teliti berdasarkan keadaan kewangan anda sendiri. Untuk maklumat lanjut, sila rujuk kepada Terma Penggunaan dan Pendedahan Risiko kami.