Anthropic mcp-server-git的路径参数漏洞：检测到多项安全漏洞，建议紧急更新至修正版

Anthropic在维护的官方mcp-server-git项目中发现了多项严重的安全漏洞。这些漏洞源于路径参数验证不充分，可能通过提示注入攻击被利用。系统管理员和开发者应立即采取措施。

路径参数验证不充分带来的重大风险

其中一项被发现的漏洞是CVE-2025-68143（未限制的git_init）。由于mcp-server-git的repo_path参数未进行路径验证，攻击者可以在系统的任意目录中创建Git仓库。该路径参数的漏洞可能通过恶意的README文件或被侵入的网页，导致用户无意中执行危险命令。

CVE-2025-68145（路径验证绕过）也具有类似的根本原因，使攻击者能够越过系统的安全边界进行访问。

提示注入攻击与参数注入的联合风险

在CVE-2025-68144（git_diff中的参数注入）中，可能在git diff命令中插入恶意参数。尤其严重的是，这些漏洞在结合文件系统MCP服务器时可能被恶意利用。

通过在.git/config文件中设置清理过滤器，攻击者可以在没有执行权限的情况下执行Shell命令。结果可能导致任意代码执行、系统文件删除，以及任意文件内容被加载到大模型的上下文中，形成多阶段的攻击场景。

安全应对措施：紧急更新

Anthropic已于2025年12月17日正式分配了这些CVE编号，并提交了修复补丁。所有使用mcp-server-git的用户强烈建议升级至2025.12.18及以后版本。

更新后，务必检查git config的设置值，确保没有不正当的清理过滤器配置。特别要确认路径参数验证已启用，防止在未预期的目录中创建仓库，并进行相应测试。