Admin
Администратор
Открыл README — потерял сервер. В Anthropic хотели упростить жизнь разработчикам, но случайно дали взломщикам ключи от их систем.
Кажется, в погоне за эффективностью про базовую цифровую гигиену просто забыли.
В официальном сервере Git Model Context Protocol (MCP), разработанном компанией Anthropic, выявлены три уязвимости, которые позволяют получить доступ к произвольным файлам, удалять их и запускать код. Проблемы затронули компонент под названием mcp-server-git — это сервер на Python, предназначенный для работы с Git-репозиториями с помощью языковых моделей.
По оценке специалистов компании Cyata, уязвимости могут быть использованы через внедрение вредоносных подсказок. Речь идёт о ситуациях, когда злоумышленник влияет на содержание, с которым взаимодействует ассистент на базе ИИ — например, при открытии README-файла, описания задачи или скомпрометированной веб-страницы. Такой подход позволяет использовать уязвимости без непосредственного доступа к системе жертвы.
Выявленные проблемы были устранены в обновлениях от сентября и декабря 2025 года после уведомления разработчиков летом того же года. Первая из уязвимостей, получившая идентификатор CVE-2025-68143, возникала из-за отсутствия проверки путей в инструменте git_init. Он принимал произвольные значения путей при создании репозитория, что позволяло злоумышленнику добраться до любых директорий. Эта проблема получила оценку 8.8 по версии CVSS 3.0.
Вторая уязвимость, CVE-2025-68144, касалась функций git_diff и git_checkout, которые передавали входные параметры напрямую в команды Git без очистки. Это открывало возможности для внедрения команд — её оценка составила 8.1 по той же шкале.
Третья проблема, CVE-2025-68145, снова касалась некорректной работы с путями: при использовании флага --repository отсутствовала проверка, ограничивающая операции конкретной директорией. Эту уязвимость оценили в 7.1.
При успешной атаке возможна подмена любого файла, превращение произвольной директории в Git-репозиторий, а также получение доступа к другим репозиториям на сервере. По данным специалистов, уязвимости можно комбинировать для запуска произвольного кода. В частности, возможно изменение конфигурационного файла репозитория, создание вредоносного фильтра и его активация через вызов git_add, что в итоге приводит к выполнению вложенного скрипта.
После анализа угроз разработчики удалили инструмент git_init из состава пакета и усилили проверки, препятствующие обходу путей. Пользователям настоятельно рекомендуется обновить библиотеку до актуальной версии.
Команда Cyata подчёркивает, что речь идёт о сервере, являющемся эталонной реализацией протокола MCP, на который ориентируются другие разработчики. Уязвимости, работающие без особых условий, указывают на необходимость более глубокой проверки всей экосистемы MCP.
