mcp-server-gitの3つの重大な脆弱性がAnthropicによって発見され、あなたのサーバーシステムを脅かしています

最新のセキュリティ調査により、Anthropicの公式mcp-server-gitサーバーに深刻な3つの脆弱性が発見され、システムの安全性が脅かされています。Odailyの報告によると、これらの脆弱性は非常に危険であり、非常に簡単なプロンプトインジェクション攻撃を通じて有効化できると指摘されています。攻撃者は危険なREADMEファイルを読むか、改ざんされたウェブページにアクセスするだけです。

サーバーへの直接アクセスを必要としない攻撃シナリオ

この脆弱性の最も危険な特徴は、その利用方法の柔軟性です。攻撃者はターゲットシステムに直接侵入する必要はなく、危険なコンテンツを準備し、言語モデルのアクターに読み込ませるだけでシステムが自動的に脆弱性を発動します。この脆弱性とMCPシステムのファイルサーバーの組み合わせは、任意のコード実行、システムファイルの削除、または機密ファイルの内容を直接大規模言語モデルのコンテキストに読み込む最悪のシナリオを生み出します。

各脆弱性のCVE番号と技術的説明

セキュリティ研究者はこれらの脆弱性を正式な番号で分類しています。

CVE-2025-68143は、git_initにおいて適切な制限が設けられていないことに関連します。攻撃者はこの脆弱性を利用して、アクセスすべきでない場所にGitリポジトリを初期化できます。

CVE-2025-68145は、パス検証のバイパスです。これは最も深刻な脆弱性の一つであり、攻撃者がシステムディレクトリを保護すべきパス制御を回避できることを意味します。

CVE-2025-68144は、git_diffコマンドのパラメータインジェクションです。この脆弱性を利用して、攻撃者はコマンドの挙動を変更し、危険なコマンドの実行を可能にします。

パス検証バイパスを利用したエクスプロイトの仕組み

Cyataの調査によると、この脆弱性の詳細な技術的背景が明らかになっています。mcp-server-gitは、repo_pathパラメータのパス検証を厳密に行っていないため、攻撃者は任意のディレクトリにGitリポジトリを作成できます。次に、.git/config内に特定のフィルター設定を行うことで、明示的な実行許可を必要とせずにシェルコマンドを実行できる仕組みになっています。

パッチの提供とユーザーへの推奨対策

Anthropicはこの発見に迅速に対応し、各脆弱性に対して正式なCVE番号を割り当て、2025年12月17日に修正パッチをリリースしました。mcp-server-gitを使用しているユーザーは、直ちに2025.12.18以降のバージョンにアップデートする必要があります。このアップデートには、前述の3つの脆弱性に対する修正が含まれています。

この深刻なセキュリティリスクを考慮すると、アップデートは推奨にとどまらず、潜在的な攻撃から最大限に保護するために必須です。