Anthropic устранил три критические уязвимости в MCP Git-сервере, связанные с доступом к файлам и удалённым выполнением кода

21 января. Как сообщает The Hacker News, исследователи из Cyata обнаружили три серьёзные уязвимости (CVE-2025-68143/44/45) в сервере mcp-server-git, который поддерживает компания Anthropic. Эти уязвимости позволяли злоумышленникам осуществлять обход путей доступа и внедрять параметры, что в итоге могло привести к удалённому выполнению произвольного кода.

Атака могла быть осуществлена через инъекцию в промпты: для этого злоумышленнику достаточно было заставить ИИ-ассистента прочитать специально подготовленное вредоносное содержимое.

Проблемы были устранены в версиях, выпущенных в сентябре и декабре 2025 года. Разработчики удалили инструмент `git_init` и усилили проверку путей. Пользователям рекомендуется как можно скорее обновить своё программное обеспечение до последней версии.