Se ha revelado un conjunto de tres vulnerabilidades de seguridad en mcp-server-git, el servidor oficial Git Model Context Protocol (MCP) mantenido por Anthropic, que podrían explotarse para observar o eliminar archivos arbitrarios y ejecutar código bajo ciertas condiciones.
“Estas fallas pueden explotarse mediante una inyección rápida, lo que significa que un atacante que puede influir en lo que lee un asistente de IA (un README solapado, una descripción de un problema inficionado, una página web comprometida) puede convertir estas vulnerabilidades en un armas sin ningún ataque directo al sistema de la víctima”, dijo el investigador de Cyata, Yarden Porat, en un noticia compartido con The Hacker News.
Mcp-server-git es un paquete Python y un servidor MCP que proporciona un conjunto de herramientas integradas para observar, agenciárselas y manipular repositorios Git mediante programación a través de modelos de estilo grandes (LLM).
Los problemas de seguridad, que se abordaron en las versiones 2025.9.25 y 2025.12.18 luego de la divulgación responsable en junio de 2025, se enumeran a continuación:
- CVE-2025-68143 (Puntuación CVSS: 8.8 (v3) / 6.5 (v4)) – Una vulnerabilidad de itinerario de ruta que surge como resultado de que la útil git_init acepta rutas arbitrarias del sistema de archivos durante la creación del repositorio sin potencia (corregido en la lectura 2025.9.25)
- CVE-2025-68144 (Puntuación CVSS: 8.1 (v3) / 6.4 (v4)) – Una vulnerabilidad de inyección de argumentos que surge como resultado de las funciones git_diff y git_checkout que pasan argumentos controlados por el heredero directamente a los comandos de git CLI sin desinfección (corregido en la lectura 2025.12.18).
- CVE-2025-68145 (Puntuación CVSS: 7.1 (v3) / 6.3 (v4)) – Una vulnerabilidad de itinerario de ruta que surge como resultado de una potencia de ruta faltante cuando se usa el indicador –repository para deslindar las operaciones a una ruta de repositorio específica (corregido en la lectura 2025.12.18)
La explotación exitosa de las vulnerabilidades anteriores podría permitir a un atacante convertir cualquier directorio del sistema en un repositorio Git, sobrescribir cualquier archivo con una diferencia vacía y alcanzar a cualquier repositorio del servidor.
En un ambiente de ataque documentado por Cyata, las tres vulnerabilidades podrían encadenarse con el servidor MCP del sistema de archivos para escribir en un archivo “.git/config” (normalmente situado internamente del directorio .git oculto) y alcanzar la ejecución remota de código activando una convocatoria a git_init mediante una inyección rápida.
- Utilice git_init para crear un repositorio en un directorio grabable
- Utilice el servidor MCP del sistema de archivos para escribir un .git/config solapado con un filtro íntegro
- Escriba un archivo .gitattributes para aplicar el filtro a ciertos archivos
- Escribe un script de shell con la carga útil.
- Escribe un archivo que active el filtro.
- Llame a git_add, que ejecuta el filtro íntegro, ejecutando la carga útil
En respuesta a los hallazgos, la útil git_init se eliminó del paquete y agrega potencia adicional para evitar primitivas de itinerario de ruta. Se recomienda a los usuarios del paquete Python que actualicen a la última lectura para una protección óptima.
“Este es el servidor canónico Git MCP, el que se dilación que los desarrolladores copien”, dijo Shahar Tal, director ejecutor y cofundador de la empresa de seguridad Agentic AI Cyata. “Si los límites de seguridad se rompen incluso en la implementación de narración, es una señal de que todo el ecosistema MCP necesita un cómputo más profundo. Estos no son casos extremos ni configuraciones exóticas, funcionan de inmediato”.
