Anthropic mcp-server-gitのパスパラメータ脆弱性：複数のセキュリティ脆弱性が検出、修正版への緊急アップデート推奨

Anthropicがメンテナンスする公式のmcp-server-gitプロジェクトで、複数の深刻なセキュリティ脆弱性が検出されました。これらの脆弱性はパスパラメータの検証不備に起因し、プロンプトインジェクション攻撃を通じて悪用される可能性があります。システム管理者と開発者は、直ちに対応が必要な状況です。

パスパラメータ検証の不備がもたらす重大なリスク

検出された脆弱性の一つが、CVE-2025-68143（制限されていないgit_init）です。mcp-server-gitのrepo_pathパラメータにはパス検証が実装されていないため、攻撃者はシステムの任意のディレクトリにGitリポジトリを作成できます。このパスパラメータの脆弱性により、悪意のあるREADMEファイルや侵害されたウェブページを通じて、ユーザーが意図せず危険なコマンドを実行する状況が発生します。

CVE-2025-68145（パス検証のバイパス）も同様の根本原因を共有しており、攻撃者がシステムのセキュリティ境界を越えてアクセスすることを可能にします。

プロンプトインジェクション攻撃と引数インジェクションの組合リスク

CVE-2025-68144（git_diffにおける引数インジェクション）では、git diffコマンドに不正な引数が挿入される可能性があります。特に深刻なのは、これらの脆弱性がファイルシステムMCPサーバーと組み合わせて悪用される場合です。

.git/configファイルでクリーンフィルターを設定することで、攻撃者は実行権限なしでシェルコマンドを実行できます。結果として、任意のコードの実行、システムファイルの削除、任意のファイルの内容が大規模言語モデルのコンテキストに読み込まれるという、多段階の攻撃シナリオが成立します。

セキュリティ対応：緊急アップデートの実施

Anthropicは2025年12月17日にこれらのCVE番号を公式に割り当て、修正パッチを提出しました。mcp-server-gitを利用しているすべてのユーザーは、バージョン2025.12.18以降への更新を強く推奨されます。

アップデート実施後は、git configの設定値を確認し、不正なクリーンフィルター設定がないことを検証することが重要です。特にパスパラメータの検証が有効になっていることを確認し、予期しないディレクトリへのリポジトリ作成が防止されていることをテストすることをお勧めします。