Les chercheurs en sécurité ont découvert trois défaillances critiques mcp-serveur-git, la mise en œuvre officielle du serveur Git pour le modèle de protocole contextuel (MCP) maintenu dans l'écosystème anthropique. Selon le rapport de la firme Cyata, ces vulnérabilités permettent de lire et de supprimer des fichiers arbitraires pour, dans certaines combinaisons, exécuter du code dans le système affecté - et plus inquiétant: ils peuvent être activés par injection rapide Je veux dire, manipuler ce qu'un assistant de l'IV obtient à "lire". Vous pouvez voir l'explication complète des chercheurs dans leur déclaration technique à le blog de Cyata.
mcp-server-git est une bibliothèque Python qui offre des outils intégrés pour les modèles de langue pour interagir avec les dépôts Git : lire, rechercher et exécuter les opérations de code programmatiquement. Il est conçu comme une référence au sein du serveur MCP et sert donc souvent de modèle à suivre par les développeurs qui implémentent des agents qui gèrent les dépôts. La collection de serveurs elle-même est disponible en le dépôt MCP.
Les trois vulnérabilités ont reçu des identifiants CVE et ont déjà des corrections publiées dans les directions du projet. La première défaillance, enregistrée comme CVE-2025-68143, a permis un croisement de routes (route traversante) lors de la création de dépôts parce que l'outil git _ init a accepté des routes système sans validation appropriée; la correction est venue dans la version 2025. 9.25. La seconde, CVE-2025-68144, consiste en l'injection d'arguments lorsque des fonctions telles que git _ diff et git _ checkout passent les paramètres contrôlés par l'utilisateur directement à la CLI de Git; cela a été résolu en 2025.12.18. La troisième, CVE-2025-68145, est une autre variante de chemin de travers lié à la manipulation du drapeau --repositoire et a également été résolu dans la même série de correctifs.
La portée de ces échecs n'est pas seulement théorique. Les chercheurs montrent comment, si un attaquant peut influencer le texte qu'un IA traite - par exemple avec un README malveillant, la description d'un problème ou une page compromise - peut canaliser les vulnérabilités avec le serveur de fichiers MCP pour manipuler le contenu d'un dépôt. Dans son scénario, l'adversaire convertit un seul dossier en un dépôt Git, écrit une configuration .git / config avec un filtre "propre" malveillant, crée un .gitattributes qui applique ce filtre à certains fichiers, introduit un script avec la charge utile et un fichier qui active le filtre, et enfin exécute git _ add: ce faisant, le filtre "propre" fonctionne et avec lui le code de l'attaquant. La technique est basée sur des caractéristiques Git légitimes, telles que les filtres définis dans .gitattributes, ce qui complique votre détection s'il n'y a pas de mesures de sécurité supplémentaires.
Le dépôt du composant du système de fichiers utilisé dans la démonstration est également public et fait partie de l'ensemble serveur MCP: Système de fichiers MCP serveur. Cette intégration des capacités à fonctionner sur le système de fichiers et la facilité d'orchestration des actions à travers les appels est précisément ce qui rend la vulnérabilité particulièrement délicate: le vecteur d'attaque peut être distant et ne nécessite pas d'accès préalable à l'hôte vulnérable.
En réponse aux tests, les responsables ont pris des mesures concrètes: entre autres mesures, l'outil git _ init a été supprimé et les validations ont été renforcées pour empêcher le primitive de base. La recommandation pour tout utilisateur de bibliothèque est de mettre à jour les versions contenant les corrections dès que possible. et d'examiner les déploiements où les agents basés sur MCP ont des permissions écrites ou la capacité d'exécuter des commandes système.
Au-delà du patch, les observations de Cyata sont un appel de réveil pour tout l'écosystème. Comme l'a souligné Shahar Tal, cofondateur et chef de la direction de l'entreprise, la mise en oeuvre des références présente de tels échecs, ce qui suggère que les bibliothèques de référence et les schémas d'intégration communs entre les LLM et les ressources du système devraient faire l'objet d'un examen plus approfondi. Le risque est non seulement qu'une référence contient une défaillance, mais qu'une multitude d'implémentations dérivées peuvent la traîner sans responsabilité ni correctifs appropriés.
Pour les développeurs et les responsables de la sécurité, la leçon pratique est claire : les interfaces qui exposent les opérations sur le système de fichiers ou qui invoquent des outils natifs nécessitent une validation d'entrée stricte, des politiques de privilège minimum et l'isolement en cours d'exécution. Dans les environnements où les modèles de langue traitent du contenu externe ou interagissent avec les ressources du système, il faudrait ajouter des obstacles supplémentaires - par exemple, des conteneurs avec des permis limités, une analyse préalable d'invites potentiellement dangereuses et des examens automatisés de codes - pour atténuer le risque qu'une chaîne de commandement légitime devienne opérationnelle.
Si vous souhaitez approfondir les corrections et avis officiels, vous pouvez consulter les pages de sécurité publiées dans le dépôt: CVE-2025-68143, CVE-2025-68144 et CVE-2025-68145. Pour la recherche technique et des exemples d'exploitation, l'analyse de Cyata est disponible sur son blog sur Cyata.ai, et la mise en œuvre des références du PCM peut être revue à C'est pas vrai.. Le maintien d'unités à jour et l'intégration de l'audit entre les agents d'IV et les ressources du système sont aujourd'hui plus que jamais une pratique essentielle.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...
PinTheft l'explosion publique qui pourrait vous donner racine sur Arch Linux
Une nouvelle explosion publique a fait ressortir la fragilité du modèle de privilèges Linux : l'équipe de sécurité V12 a qualifié l'échec de Vol d'épingles et publié un test de ...