在 Anthropic 的 Git MCP 伺服器上發現三個嚴重安全漏洞

一項安全調查揭露，Anthropic 的官方 Git MCP 實作存在相當嚴重的漏洞。根據 Odaily 的報導，這三個安全漏洞不僅允許未經授權的文件存取，還可能為遠端執行程式碼打開大門。令人更為擔憂的是，這些漏洞的利用非常容易——攻擊者不需要直接存取目標系統，只需一個危險的 README 文件或被破壞的網頁，即可觸發漏洞。

三個威脅安全的漏洞識別

安全研究人員已經識別出由 Anthropic 管理的 mcp-server-git 官方版本中的三個特定漏洞。第一個漏洞，列為 CVE-2025-68143，涉及 git_init 權限不足的限制。第二個，CVE-2025-68145，則是暴露路徑繞過，允許操控目錄。第三個，CVE-2025-68144，與 git_diff 命令中的參數注入有關。這三個漏洞的結合在與其他 MCP 檔案系統伺服器整合時，會形成非常危險的情境。

攻擊者如何利用這些漏洞

攻擊機制始於指令注入——攻擊者可以透過危險的輸入指示系統執行特定命令。Cyata 的研究指出，由於 mcp-server-git 未對 repo_path 參數進行嚴格的路徑驗證，攻擊者可以在系統中的任何目錄建立 Git 儲存庫。此外，透過在 .git/config 檔案中配置特殊的過濾器，攻擊者可以執行任意 Shell 命令，無需明確的執行許可。這可能導致大規模刪除系統檔案、竊取敏感資料，甚至控制大型語言模型的環境。

緊急措施與更新建議

Anthropic 已迅速行動，為這三個漏洞設定 CVE 編號，並於 2025 年 12 月 17 日發布正式修補程式。已在基礎設施中部署 mcp-server-git 的用戶，應立即採取行動：盡快將 mcp-server-git 更新至 2025.12.18 或更新版本。考量到漏洞持續存在可能造成的擴大影響，延遲更新將大大增加系統安全與重要資料的風險。

圖示說明： 這張圖示警示用戶注意系統安全漏洞的嚴重性。

具體漏洞細節

CVE-2025-68143：git_init 權限不足限制

此漏洞允許攻擊者在未經授權的情況下初始化 Git 儲存庫，可能導致資料覆蓋或未授權存取。

CVE-2025-68145：路徑繞過

此漏洞使攻擊者能夠操控路徑驗證流程，進入本不應存取的目錄，進一步執行惡意操作。

CVE-2025-68144：git_diff 參數注入

此漏洞允許攻擊者在 git_diff 命令中注入惡意參數，可能導致命令執行或資料竊取。

攻擊流程詳解

攻擊者首先利用指令注入，透過惡意輸入操控系統執行任意命令。由於 mcp-server-git 未對 repo_path 參數進行嚴格驗證，攻擊者可以在系統任何目錄建立 Git 儲存庫。進一步地，攻擊者可以在 .git/config 文件中配置特殊過濾器，執行任意 Shell 命令，無需額外許可。這樣的行為可能導致系統資料大規模刪除、敏感資訊外洩，甚至控制整個語言模型環境。

緊急應對措施

為了防止潛在的重大損失，所有使用該版本的用戶必須立即行動。請務必在第一時間內將 mcp-server-git 升級至 2025.12.18 或更高版本，以修補這些嚴重漏洞。遲延更新可能會使系統面臨被攻擊、資料外洩或系統控制權喪失的風險，請務必重視並迅速行動。