Anthropicが主導するプロジェクトである公式Git Model Context Protocol(MCP)サーバー内で、3件の重大な脆弱性が発見されました。これらの欠陥により、未承認の任意ファイルアクセス、削除、そしてリモートコード実行が可能になります。セキュリティ上の不備は、特にmcp-server-gitコンポーネントに影響していました。これは、大規模言語モデルとGitリポジトリ間のやり取りを容易にするために設計されたPythonベースのサーバーです。
Cyataによる評価によれば、これらの脆弱性は悪意あるプロンプトインジェクションによって悪用される可能性があります。これは、攻撃者がAIアシスタントが取り込むコンテンツ(侵害されたREADMEファイル、欺瞞的なタスク説明、または改ざんされたウェブページなど)を操作し、直接アクセスを必要とせずにホストシステムに対してAIの能力を武器化することで発生します。
特定された欠陥は、その夏の早い段階で開発者に開示された後、2025年9月および12月の段階的な更新で修正されました。最初の脆弱性(CVE-2025-68143)は、git_initツールにおけるパス検証の欠如に起因していました。リポジトリ初期化時に任意のパス値を受け入れていたため、攻撃者が制限されたディレクトリへ移動できてしまい、CVSS 3.0スコアは8.8と評価されました。
2つ目の欠陥(CVE-2025-68144)は、git_diffおよびgit_checkout関数に関するもので、入力パラメータをサニタイズせずにそのままGitコマンドへ渡していました。この見落としによりコマンドインジェクションが可能となり、深刻度は8.1と評価されました。
最後の問題(CVE-2025-68145)は、--repositoryフラグに関連する不適切なパス処理に関するもので、ディレクトリ固有の制約が欠如していたため、操作が意図した境界を越えてしまい、評価は7.1となりました。
悪用に成功すると、任意のファイルの改ざん、任意のディレクトリをGitリポジトリへ変換すること、そして他のサーバー側リポジトリへの未承認アクセスが可能になります。研究者らは、これらの脆弱性を連鎖させて任意コード実行を達成できることを確認しました。具体的には、攻撃者がリポジトリの設定ファイルを改変して悪意あるフィルタを設定し、それがgit_addによってトリガーされると、入れ子になったスクリプトが実行されます。
脅威分析を受けて、開発者はパッケージからgit_initツールを削除し、厳格なパストラバーサル対策を実装しました。ユーザーには、ライブラリを最新バージョンへ更新することが強く推奨されます。Cyataのチームは、このサーバーがMCPプロトコルの参照実装として機能していることから、これらの「ゼロクリック」脆弱性は、MCPエコシステム全体にわたるより徹底したセキュリティ監査が急務であることを示していると強調しています。
翻訳元: https://meterpreter.org/ais-open-door-critical-rce-flaws-found-in-anthropics-git-mcp-server/
