Anthropic 官方 Git MCP 服務器存在多個安全漏洞,可實現文件讀寫和潛在的遠程代碼執行
ChainCatcher 1 小時前 ChainCatcher 消息,Anthropic 維護的官方 mcp-server-git 中發現三個安全漏洞。這些漏洞可被通過提示詞注入攻擊手段利用,攻擊者在無需直接訪問受害者系統的情況下,通過惡意 README 文件或受損網頁即可觸發漏洞。這些漏洞包括:CVE-2025-68143(未限制的 git_init)、CVE-2025-68145(路徑驗證繞過)以及 CVE-2025-68144(git_diff 中的參數注入)。若將這些漏洞與文件系統 MCP 服務器結合使用,攻擊者可執行任意代碼、刪除系統文件,或將任意文件內容讀取至大語言模型上下文中。Cyata 指出,由于 mcp-server-git 未對 repo_path 參數進行路徑校驗,攻擊者可在系統任意目錄創建 Git 倉庫。此外,通過在 .git/config 中配置清理過濾器,攻擊者可在無需執行權限的情況下運行 Shell 命令。Anthropic 已于 2025 年 12 月 17 日分配 CVE 編號并提交修復補丁。建議用戶將 mcp-server-git 更新至 2025.12.18 或更高版本。
- 喜歡使用社交軟體關注?關注我們的 Twitter,或者加入 Telegram!
- 想關注最新資訊? 下載CoinCarp App吧
- 有新聞需要爆料,官方公告需要發布? 來給我們發郵件吧![email protected]
免責聲明:CoinCarp 上的信息均為作者引用。這並不代表CoinCarp對是否購買、出售或持有任何投資的意見。建議您在做出任何投資決策前自行研究。使用所提供的信息,風險自擔。更多信息請參閱免責聲明。
早報 | Mask Network 宣布接管 Lens Protocol;Pump.fun 成立投資部門 Pump Fund;Strategy 斥資 21.3 億美元增持比特幣 
ARK 創始人“木頭姐”2026 預測:黃金見頂、美元回升、比特幣走出獨立行情 
10.11 內幕巨鯨 Garrett:為何用 2022 年的熊市劇本去“刻舟求劍”是極其荒謬的? 
a16z:公關即 BD,如何在加密行業的“噪音”中突圍?