Anthropic 官方 Git MCP 服务器存在多个安全漏洞,可实现文件读写和潜在的远程代码执行
ChainCatcher 3 小时前 ChainCatcher 消息,Anthropic 维护的官方 mcp-server-git 中发现三个安全漏洞。这些漏洞可被通过提示词注入攻击手段利用,攻击者在无需直接访问受害者系统的情况下,通过恶意 README 文件或受损网页即可触发漏洞。这些漏洞包括:CVE-2025-68143(未限制的 git_init)、CVE-2025-68145(路径验证绕过)以及 CVE-2025-68144(git_diff 中的参数注入)。若将这些漏洞与文件系统 MCP 服务器结合使用,攻击者可执行任意代码、删除系统文件,或将任意文件内容读取至大语言模型上下文中。Cyata 指出,由于 mcp-server-git 未对 repo_path 参数进行路径校验,攻击者可在系统任意目录创建 Git 仓库。此外,通过在 .git/config 中配置清理过滤器,攻击者可在无需执行权限的情况下运行 Shell 命令。Anthropic 已于 2025 年 12 月 17 日分配 CVE 编号并提交修复补丁。建议用户将 mcp-server-git 更新至 2025.12.18 或更高版本。
- 喜欢使用社交软件关注?关注我们的 Twitter,或者加入 Telegram!
- 想关注最新资讯? 下载CoinCarp App吧
- 有新闻需要爆料,官方公告需要发布? 来给我们发邮件吧![email protected]
免责声明:CoinCarp 上的信息均为作者引用。这并不代表CoinCarp对是否购买、出售或持有任何投资的意见。建议您在做出任何投资决策前自行研究。使用所提供的信息,风险自担。更多信息请参阅免责声明。
Bitget UEX 日报|特朗普关税威胁升级,美股大跌;金银价格创历史新高;美联储主席人选即将敲定 (2026年01月21日) 
早报 | Mask Network 宣布接管 Lens Protocol;Pump.fun 成立投资部门 Pump Fund;Strategy 斥资 21.3 亿美元增持比特币 
ARK 创始人“木头姐”2026 预测:黄金见顶、美元回升、比特币走出独立行情 
10.11 内幕巨鲸 Garrett:为何用 2022 年的熊市剧本去“刻舟求剑”是极其荒谬的?