Anthropic发现MCP服务器三处安全漏洞…可能引发远程代码执行

Anthropic维护的MCP服务器发现三处安全漏洞

在Anthropic维护的MCP服务器（mcp-server-git）中发现了三处安全漏洞。分析指出，这些漏洞可通过恶意README文件或受损网页等途径发起攻击，无需系统直接访问即可实现，可能造成严重危害。

已确认的主要漏洞如下：

CVE-2025-68143：未设置git_init操作限制；CVE-2025-68145：存在路径绕过风险；CVE-2025-68144：git_diff功能存在参数操纵漏洞。若将这些漏洞与基于文件系统的MCP服务器结合利用，攻击者可能执行任意代码、删除系统文件或泄露敏感信息。

安全分析机构Cyata说明，由于缺乏路径验证，攻击者可在系统任意位置创建Git仓库，并在无需特殊执行权限的情况下运行Shell命令。Anthropic已于2025年12月17日获得相关CVE编号，并于次日发布修补版本。建议用户及时更新至最新版本。