Investigadores en seguridad han destapado tres fallos críticos en mcp-server-git, la implementación oficial del servidor Git para el Model Context Protocol (MCP) mantenida dentro del ecosistema de Anthropic. Según el informe de la firma Cyata, estas vulnerabilidades permiten desde leer y borrar archivos arbitrarios hasta, en determinadas combinaciones, ejecutar código en el sistema afectado —y lo más inquietante: pueden activarse mediante prompt injection, es decir, manipulando lo que un asistente de IA llega a “leer”. Puedes consultar la explicación completa de los investigadores en su comunicado técnico en el blog de Cyata.
mcp-server-git es una biblioteca en Python que ofrece herramientas integradas para que modelos de lenguaje interactúen con repositorios Git: leer, buscar y ejecutar operaciones sobre código de forma programática. Está pensada como referencia dentro del conjunto de servidores MCP y, por tanto, suele servir como modelo a seguir por desarrolladores que implementan agentes que manejan repositorios. La propia colección de servidores está disponible en el repositorio MCP.
Las tres vulnerabilidades han recibido identificadores CVE y ya cuentan con correcciones publicadas en las ramas del proyecto. El primer fallo, registrado como CVE-2025-68143, permitía una travesía de rutas (path traversal) durante la creación de repositorios porque la herramienta git_init aceptaba rutas de sistema sin validación adecuada; la corrección llegó en la versión 2025.9.25. El segundo, CVE-2025-68144, consiste en la inyección de argumentos cuando funciones como git_diff y git_checkout pasaban parámetros controlados por el usuario directamente a la CLI de Git; esto se solucionó en 2025.12.18. El tercero, CVE-2025-68145, es otra variante de path traversal ligada al manejo del flag --repository y también fue resuelto en la misma serie de parches.
El alcance de estos fallos no es meramente teórico. Los investigadores muestran cómo, si un atacante consigue influir en el texto que una IA procesa —por ejemplo con un README malicioso, la descripción de un issue o una página comprometida—, puede encadenar las vulnerabilidades con el servidor de archivos del MCP para manipular el contenido de un repositorio. En su escenario, el adversario convierte una carpeta cualquiera en un repositorio Git, escribe una configuración .git/config con un filtro “clean” malicioso, crea una .gitattributes que aplique ese filtro a ciertos ficheros, introduce un script con la carga útil y un archivo que active el filtro, y finalmente ejecuta git_add: al hacerlo, el filtro “clean” se ejecuta y con él el código del atacante. La técnica se apoya en características legítimas de Git, como los filtros definidos en .gitattributes, lo que complica su detección si no hay medidas de seguridad adicionales.
El repositorio del componente de sistema de ficheros usado en la demostración también es público y forma parte del conjunto de servidores MCP: Filesystem MCP server. Esa integración entre capacidades para operar sobre el sistema de archivos y la facilidad de orquestar acciones mediante prompts es precisamente lo que hace especialmente delicada la vulnerabilidad: el vector de ataque puede ser remoto y no requiere acceso previo al host vulnerable.
En respuesta a las pruebas, los mantenedores han tomado acciones concretas: entre otras medidas, la herramienta git_init se ha eliminado y se han reforzado las validaciones para impedir primitivas básicas de traversal. La recomendación para cualquier usuario de la librería es actualizar cuanto antes a las versiones que contienen las correcciones y revisar despliegues en los que agentes basados en MCP tengan permisos de escritura o capacidad de ejecutar comandos del sistema.
Más allá del parche, las observaciones de Cyata son una llamada de atención para todo el ecosistema. Como señalaba Shahar Tal, cofundador y CEO de la compañía, que la implementación de referencia presente fallos de este tipo sugiere que deben someterse a un escrutinio más exhaustivo tanto las bibliotecas de referencia como los patrones de integración comunes entre LLMs y recursos del sistema. El riesgo no es solo que una referencia contenga un fallo, sino que multitud de implementaciones derivadas puedan arrastrarlo sin responsabilidad ni parches oportunos.
Para desarrolladores y responsables de seguridad, la lección práctica es clara: las interfaces que exponen operaciones sobre el sistema de archivos o que invocan herramientas nativas necesitan validación estricta de entradas, políticas de privilegios mínimos y aislamiento de ejecución. En entornos donde modelos de lenguaje procesan contenido externo o interactúan con recursos del sistema, conviene añadir barreras adicionales —por ejemplo, contenedores con permisos limitados, análisis previo de prompts potencialmente peligrosos y revisiones de código automatizadas— para mitigar el riesgo de que una cadena de comandos legítima se convierta en explotación.
Si quieres profundizar en las correcciones y los avisos oficiales, puedes consultar las páginas de seguridad publicadas en el repositorio: CVE-2025-68143, CVE-2025-68144 y CVE-2025-68145. Para la investigación técnica y ejemplos de explotación, el análisis de Cyata está disponible en su blog en cyata.ai, y la implementación de referencia del MCP puede revisarse en GitHub. Mantener dependencias actualizadas y auditar integraciones entre agentes IA y recursos del sistema es, hoy más que nunca, una práctica imprescindible.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...
PinTheft el exploit público que podría darte root en Arch Linux
Un nuevo exploit público ha llevado a la superficie otra vez la fragilidad del modelo de privilegios en Linux: el equipo de V12 Security bautizó la falla como PinTheft y publicó...