Multiple 0-day Vulnerabilities in Anthropic Git MCP Server Enables Code Execution
2026/01/21 CyberSecurityNews — Model Context Protocol (MCP) 向け Git 連携のリファレンス実装である mcp-server-git において、3 件のゼロデイ脆弱性 CVE-2025-68143/CVE-2025-68144/CVE-2025-68145 が確認されている。これらの脆弱性は、Git のコア操作における入力検証および引数サニタイズの不備に起因するものであり、間接的なプロンプト・インジェクションを通じて、攻撃者はシステムへの直接アクセスを必要とせずに、コード実行/ファイル削除/機微情報の流出を実現できる。修正はバージョン 2025.12.18 以降で提供されている。
従来の MCP に関するセキュリティ指摘とは異なり、これらの脆弱性はデフォルト設定でも影響を受けるため、Anthropic 公式の MCP サーバを展開している組織に対して、即時かつ深刻なリスクがもたらされる。
Cyata により発見された、これらの脆弱性を悪用する攻撃者は、悪意の README/汚染された issue 記述/侵害された Web ページを介して、AI アシスタントのコンテキストに影響を与えることが可能となる。これらのコンテンツを LLM が処理すると、攻撃者が制御する引数を用いた MCP ツール呼び出しが実行される。このプロセスにおいて、直接的なシステム・アクセスが不要な点が重要である。
| CVE ID | Issue | CVSS | Impact |
|---|---|---|---|
| CVE-2025-68143 | Unrestricted repo initialization | 8.6 | Directory traversal, data exfiltration |
| CVE-2025-68145 | Path validation bypass | 8.2 | Unauthorized repo access |
| CVE-2025-68144 | Argument injection | 8.8 | File deletion or corruption |
この攻撃チェーンは、複数の弱点を組み合わせたものであり、リポジトリ・パスの無制限指定により、システム上の任意の Git ディレクトリへのアクセスが可能となる。さらに、引数インジェクションによる任意のファイル操作が可能となり、Filesystem MCP サーバとの連携により、Git フィルタを介したコード実行が実現される。
Anthropic Git MCP Server の脆弱性
- CVE-2025-68145:リポジトリ・パス回避
git_diff 関数および git_log 関数は、サーバ初期化時に設定された “–repository” フラグとの照合を行わず、ユーザー引数から “repo_path” をそのまま受け取る。この挙動により、意図したリポジトリに限定されず、ファイル・システム上の任意の Git リポジトリにアクセス可能となる。
- CVE-2025-68143:無制限初期化
git_init ツールにはパス検証が一切存在しないため、”/home/user/.ssh” などの任意のディレクトリにリポジトリを作成できる。この挙動を git_log/git_diff 関数と組み合わせることで、機微なファイルを LLM コンテキストへと流出させることが可能になる。
- CVE-2025-68144:引数インジェクション
git_diff 関数は target パラメータをサニタイズせずに Git CLI に渡すため、攻撃者は “–output” などのフラグを注入できる。たとえば、target に “–output=/home/user/.bashrc” を指定することで、重要ファイルの削除または破損を引き起こすことが可能になる。
最も深刻な問題は Git フィルタ設定に関するものであり、攻撃者は git_init を悪用することで、clean/smudge フィルタを取り込んだ悪意の “.git/config” を作成できる。これらのフィルタは、ステージング操作中にシェル・コマンドを実行するため、権限を必要としない任意のペイロード実行が可能になる。
この攻撃チェーンは、Filesystem MCP サーバーを通じた悪意のコンフィグ・ファイルの書き込み、”.gitattributes” の作成によるフィルタ発火、Git フィルタ経由でのコード実行という流れで構成される。
このインシデントが示すのは、Git/ファイルシステム/LLM 機能を組み合わせる MCP の相互接続型アーキテクチャが、個々の脆弱性を増幅し、完全なシステム侵害へと発展し得ることである。2025.12.18 以下の mcp-server-git を実行している、すべての組織が影響を受ける。特にリスクが高いのは、Cursor/Windsurf/GitHub Copilot などの AI 駆動 IDE である。それらは、複数の MCP サーバを同時に実行するコンフィグを持つため、攻撃対象領域が著しく拡大する。
Cyata の調査によると、Git 連携を有効化した Claude Desktop のユーザーに対して、悪用防止のため更新を最優先事項として扱うことが強く推奨される。
緩和策と対応
| Mitigation | Description |
|---|---|
| Update software | Upgrade mcp-server-git to version 2025.12.18 or later |
| Audit integrations | Review MCP server combinations, especially Git + Filesystem |
| Monitor filesystem | Check for unexpected .git directories outside repositories |
| Review permissions | Apply least-privilege access to MCP servers |
| Validate inputs | Add stronger input validation in downstream tools |
これらの脆弱性が明確に示すのは、従来のセキュリティ・モデルでは対処できない新たな攻撃ベクターを、エージェント型システムが引き起こすという現実である。AI エージェントが自律的な運用能力を獲得するにつれ、組織は LLM 駆動の意思決定およびツール呼び出しを前提とした脅威モデルへの再考を迫られる。
MCP のアーキテクチャ自体に欠陥があるわけではないが、その安全性は、すべての連携ポイントにおける厳格な入力検証に依存している。
AI エージェントがツールを利用するための新しい規格 Model Context Protocol (MCP) の Gi t連携用サーバ mcp-server-git において、システムを乗っ取りに至る恐れのある、3 つのゼロデイ脆弱性が発見されました。この問題の原因は、AI が Git コマンドを実行する際の不十分な入力チェックにあります。
これらの脆弱性 CVE-2025-68143/68144/68145 の恐ろしい点は、対象となるコンピュータに攻撃者が直接アクセスする必要がないことです。攻撃者は、悪意の README ファイルや Web ページを AI に読み込ませるだけで、AI を操り人形のように操作し、裏側で Git コマンドを実行させることができます (プロンプト・インジェクション)。
具体的には、AI に指示を出して重要な設定ファイルがある場所に Git リポジトリを作成させたり、ファイルの削除や上書きを行わせることが可能になります。さらに、Git のフィルタ機能を悪用することで、最終的には攻撃者が作成した悪意のプログラムのサーバ上での実行も引き起こします。よろしければ、Prompt Injection での検索結果も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.