Kerentanan parameter jalur mcp-server-git Anthropic: Ditemukan beberapa kerentanan keamanan, disarankan untuk melakukan pembaruan darurat ke versi yang diperbaiki

OldLeekConfession · 2026-01-26T04:25:09+00:00

Proyek mcp-server-git oleh Anthropic memiliki beberapa kerentanan keamanan serius akibat validasi parameter jalur yang tidak memadai, memungkinkan serangan injeksi prompt. Administrator dan pengembang harus segera menangani masalah ini. Kerentanan tersebut meliputi CVE-2025-68143, yang memungkinkan pembuatan repositori Git berbahaya, dan CVE-2025-68144, yang memungkinkan injeksi argumen dalam perintah git. Pengguna sangat disarankan untuk memperbarui ke versi 2025.12.18 untuk mengurangi risiko ini.

OldLeekConfession

2026-01-26 04:25:09

Pembuatan abstrak sedang berlangsung

Dalam proyek resmi mcp-server-git yang dipelihara oleh Anthropic, ditemukan beberapa kerentanan keamanan serius. Kerentanan ini disebabkan oleh ketidaklengkapan validasi parameter jalur dan dapat dimanfaatkan melalui serangan injeksi prompt. Pengelola sistem dan pengembang harus segera menanggapi situasi ini.

Risiko serius yang ditimbulkan oleh ketidaklengkapan validasi parameter jalur

Salah satu kerentanan yang terdeteksi adalah CVE-2025-68143 (git_init tanpa batasan). Karena parameter repo_path pada mcp-server-git tidak menerapkan validasi jalur, penyerang dapat membuat repositori Git di direktori mana pun di sistem. Kerentanan pada parameter jalur ini dapat menyebabkan situasi di mana pengguna secara tidak sengaja menjalankan perintah berbahaya melalui file README yang berbahaya atau halaman web yang telah disusupi.

CVE-2025-68145 (penghindaran validasi jalur) juga berbagi akar penyebab yang sama, memungkinkan penyerang melewati batas keamanan sistem dan mengaksesnya.

Risiko gabungan serangan injeksi prompt dan injeksi argumen

Pada CVE-2025-68144 (injeksi argumen pada git_diff), ada kemungkinan argumen yang tidak sah disisipkan ke dalam perintah git diff. Terutama, kerentanan ini menjadi sangat serius jika disalahgunakan bersama dengan server MCP file system.

Dengan mengatur filter bersih di file .git/config, penyerang dapat menjalankan perintah shell tanpa hak eksekusi. Akibatnya, ini dapat menyebabkan eksekusi kode sembarangan, penghapusan file sistem, dan pembacaan isi file ke dalam konteks model bahasa besar, yang merupakan skenario serangan berlapis.

Tindakan keamanan: pelaksanaan pembaruan darurat

Anthropic secara resmi menetapkan nomor CVE ini pada 17 Desember 2025 dan mengajukan patch perbaikan. Semua pengguna yang menggunakan mcp-server-git sangat disarankan untuk memperbarui ke versi 2025.12.18 atau lebih baru.

Setelah melakukan pembaruan, penting untuk memeriksa pengaturan git config dan memastikan tidak ada pengaturan filter bersih yang tidak sah. Disarankan juga untuk memverifikasi bahwa validasi parameter jalur aktif dan penghindaran pembuatan repositori di direktori yang tidak diinginkan telah diuji.

Lihat Asli

Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.