Anthropicの公式Git MCPサーバーには、ファイルの読み書きや潜在的なリモートコード実行を可能にする複数のセキュリティ脆弱性があります。

Anthropic が管理する公式 mcp-server-git に 3 つのセキュリティ脆弱性が発見されました。これらの脆弱性は、プロンプトインジェクション攻撃手法を通じて悪用される可能性があり、攻撃者は被害者のシステムに直接アクセスすることなく、悪意のある README ファイルや損なわれたウェブページを介して脆弱性を引き起こすことができます。これらの脆弱性には、CVE-2025-68143（制限のない gitinit）、CVE-2025-68145（パス検証のバイパス）、および CVE-2025-68144（gitdiff におけるパラメータインジェクション）が含まれます。

これらの脆弱性をファイルシステム MCP サーバーと組み合わせて使用すると、攻撃者は任意のコードを実行したり、システムファイルを削除したり、任意のファイル内容を大規模言語モデルのコンテキストに読み込むことができます。Cyata は、mcp-server-git が repo_path パラメータに対してパス検証を行っていないため、攻撃者がシステムの任意のディレクトリに Git リポジトリを作成できると指摘しています。さらに、.git/config にクリーンアップフィルターを設定することで、攻撃者は実行権限なしにシェルコマンドを実行することができます。Anthropic は 2025 年 12 月 17 日に CVE 番号を割り当て、修正パッチを提出しました。ユーザーには mcp-server-git を 2025.12.18 以降のバージョンに更新することを推奨します。