Главная
Новости
Подробнее

Обнаружено несколько уязвимостей в официальном сервере Git MCP компании Anthropic

iconKuCoinFlash
Поделиться
Share IconShare IconShare IconShare IconShare IconShare IconCopy
AI summary iconСводка

expand icon
В официальном репозитории mcp-server-git компании Anthropic был обнаружен инцидент безопасности, включающий три уязвимости, которые могут быть использованы через атаки ввода подсказок. Атакующие могут использовать вредоносные файлы README или скомпрометированные веб-страницы для активации уязвимостей, таких как CVE-2025-68143, CVE-2025-68145 и CVE-2025-68144. Это может привести к выполнению произвольного кода или удалению файлов. Новостные отчеты, опубликованные в блокчейне, отмечают, что параметр repo_path не имеет проверки пути, что позволяет создавать репозитории Git в любой системной директории. Компания Anthropic выпустила исправление 17 декабря 2025 года. Пользователям рекомендуется обновиться до версии 2025.12.18 или выше.

Odaily Planet News: В официальном mcp-server-git, поддерживаемом компанией Anthropic, были обнаружены три уязвимости в безопасности. Эти уязвимости могут быть использованы для атак методом внедрения подсказок, злоумышленники могут активировать уязвимости, используя вредоносный файл README или поврежденную веб-страницу, без прямого доступа к системе жертвы.

Эти уязвимости включают CVE-2025-68143 (ограниченный git_init), CVE-2025-68145 (обход проверки пути) и CVE-2025-68144 (внедрение параметров в git_diff). При использовании этих уязвимостей вместе с сервером MCP файловой системы злоумышленник может выполнить произвольный код, удалить системные файлы или считать содержимое любого файла в контекст большого языкового модели.

Cyata отмечает, что из-за отсутствия проверки пути в параметре repo_path в mcp-server-git злоумышленник может создать репозиторий Git в любом каталоге системы. Кроме того, настроив фильтр очистки в .git/config, злоумышленник может запускать команды Shell без необходимости наличия прав на выполнение. Anthropic назначила номер CVE и предоставила исправление 17 декабря 2025 года. Рекомендуется обновить mcp-server-git до версии 2025.12.18 или выше. (cyata)

Источник:Показать оригинал
Отказ от ответственности: Информация на этой странице может быть получена от третьих лиц и не обязательно отражает взгляды или мнения KuCoin. Данный контент предоставляется исключительно в общих информационных целях, без каких-либо заверений или гарантий, а также не может быть истолкован как финансовый или инвестиционный совет. KuCoin не несет ответственности за ошибки или упущения, а также за любые результаты, полученные в результате использования этой информации. Инвестиции в цифровые активы могут быть рискованными. Пожалуйста, тщательно оценивайте риски, связанные с продуктом, и свою устойчивость к риску, исходя из собственных финансовых обстоятельств. Для получения более подробной информации, пожалуйста, ознакомьтесь с нашими Условиями использования и Уведомлением о риске.