Três vulnerabilidades de segurança foram identificadas no mcp-server-git, servidor oficial do Git Model Context Protocol (MCP) mantido pela Anthropic.
Essas falhas podem ser exploradas para ler ou deletar arquivos arbitrários e, em determinadas condições, executar código malicioso.
Conforme destacou Yarden Porat, pesquisador da Cyata, em relatório compartilhado com o The Hacker News: “essas vulnerabilidades podem ser exploradas via prompt injection, ou seja, um atacante que consiga manipular o que um assistente de IA lê — como um README malicioso, a descrição contaminada de uma issue ou uma página web comprometida — pode usar essas falhas sem acesso direto ao sistema-alvo”.
O mcp-server-git é um pacote Python que funciona como servidor MCP, oferecendo ferramentas integradas para ler, buscar e manipular repositórios Git programaticamente por meio de modelos de linguagem natural (LLMs).
As vulnerabilidades, corrigidas nas versões 2025.09.25 e 2025.12.18 após divulgação responsável em junho de 2025, são:
-
CVE-2025-68143
(pontuação CVSS: 8,8 [v3] / 6,5 [v4]): vulnerabilidade de path traversal no git_init, que aceitava caminhos arbitrários durante a criação do repositório sem validação adequada (corrigida em 2025.09.25);
-
CVE-2025-68144
(pontuação CVSS: 8,1 [v3] / 6,4 [v4]): vulnerabilidade de argument injection nas funções git_diff e git_checkout, que passavam argumentos controlados pelo usuário diretamente para comandos git CLI sem sanitização (corrigida em 2025.12.18);
-
CVE-2025-68145
(pontuação CVSS: 7,1 [v3] / 6,3 [v4]): nova vulnerabilidade de path traversal por falta de validação no uso da flag --repository para limitar operações a um caminho específico (corrigida em 2025.12.18).
Se exploradas com sucesso, essas falhas podem permitir que o invasor transforme qualquer diretório do sistema em um repositório Git, sobrescreva arquivos com um diff vazio e acesse qualquer repositório no servidor.
Um cenário de ataque descrito pela Cyata demonstra como essas três falhas podem ser combinadas com o Filesystem MCP server para modificar o arquivo ".git/config" (localizado dentro do diretório oculto .git) e, via prompt injection, executar código remotamente.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...