Головна
Новини
Детальніше

Офіційний Git-сервер MCP компанії Anthropic виявлено з кількома безпековими вразливостями

iconKuCoinFlash
Поділитися
Share IconShare IconShare IconShare IconShare IconShare IconCopy
AI summary iconКороткий зміст

expand icon
У офіційному mcp-server-git компанії Anthropic було виявлено витік безпеки, який містить три вразливості, доступні через атаки введення запитів. Зловмисники могли використовувати зловмисні файли README або компромітовані веб-сторінки, щоб викликати помилки, такі як CVE-2025-68143, CVE-2025-68145 і CVE-2025-68144. Це могло призвести до виконання довільного коду або видалення файлів. Згідно з новинами, опублікованими в ланцюгу блоків, параметр repo_path не має валідації шляху, що дозволяє створити репозиторій Git у будь-якій системній директорії. Anthropic випустила патч 17 грудня 2025 року. Користувачі мають оновити версію до 2025.12.18 або вищої.

Odaily Planet News: У офіційному mcp-server-git, який підтримується компанією Anthropic, виявлено три безпекових уразливості. Ці уразливості можуть бути використані для атаки методом вставки підказок, при якій зловмисник може викликати уразливості через поганий файл README або пошкоджений веб-сайт без безпосереднього доступу до системи жертви.

Ці уразливості включають CVE-2025-68143 (обмеження git_init), CVE-2025-68145 (обхід перевірки шляху) та CVE-2025-68144 (вставка параметрів у git_diff). У поєднанні з файловою системою MCP-сервера зловмисники можуть виконувати довільний код, видаляти системні файли або зчитувати вміст довільних файлів у контекст великого мовного моделю.

Cyata зазначає, що через те, що mcp-server-git не перевіряє параметр repo_path, зловмисники можуть створити репозиторій Git у довільному каталозі системи. Крім того, налаштовуючи фільтр очищення в .git/config, зловмисники можуть виконувати команди Shell без необхідності виконання дозволу. Anthropic призначив номер CVE 17 грудня 2025 року та подав патч-заповіт. Рекомендується оновити mcp-server-git до версії 2025.12.18 або вищої. (cyata)

Джерело:Показати оригінал
Відмова від відповідальності: Інформація на цій сторінці може бути отримана від третіх осіб і не обов'язково відображає погляди або думки KuCoin. Цей контент надається лише для загального інформування, без будь-яких запевнень або гарантій, а також не може розглядатися як фінансова або інвестиційна порада. KuCoin не несе відповідальності за будь-які помилки або упущення, а також за будь-які результати, отримані в результаті використання цієї інформації. Інвестиції в цифрові активи можуть бути ризикованими. Будь ласка, ретельно оцініть ризики продукту та свою толерантність до ризику, виходячи з ваших власних фінансових обставин. Для отримання додаткової інформації, будь ласка, зверніться до наших Умов використання та Розкриття інформації про ризики.