Foram identificadas várias vulnerabilidades de segurança no servidor oficial Git MCP da Anthropic, permitindo leitura e escrita de arquivos e potencial execução remota de código.

De acordo com Odaily, foram descobertas três vulnerabilidades de segurança no mcp-server-git oficial mantido pela Anthropic. Essas vulnerabilidades podem ser exploradas por meio de ataques de injeção de prompt, permitindo que um invasor acione as falhas através de arquivos README maliciosos ou páginas da web comprometidas, sem a necessidade de acesso direto ao sistema da vítima.

Essas vulnerabilidades incluem: CVE-2025-68143 (git_init sem restrições), CVE-2025-68145 (bypass de validação de caminho) e CVE-2025-68144 (injeção de parâmetros no git_diff). Caso essas vulnerabilidades sejam combinadas com o servidor de arquivos MCP, um invasor pode executar código arbitrário, excluir arquivos do sistema ou ler o conteúdo de qualquer arquivo para o contexto do modelo de linguagem grande.

Segundo a Cyata, devido à ausência de validação do parâmetro repo_path no mcp-server-git, um invasor pode criar repositórios Git em qualquer diretório do sistema. Além disso, ao configurar filtros de limpeza no .git/config, o invasor pode executar comandos Shell sem necessidade de permissões de execução. A Anthropic atribuiu os números CVE em 17 de dezembro de 2025 e já enviou patches de correção. Recomenda-se que os usuários atualizem o mcp-server-git para a versão 2025.12.18 ou superior. (cyata)