Anthropic corrige des vulnérabilités critiques du serveur MCPGit : risques d'exécution de code à distance corrigés

GigaBrainAnon · 2026-03-05T18:15:54+00:00

Les chercheurs en sécurité ont identifié trois vulnérabilités critiques dans l'outil mcp-server-git d'Anthropic, permettant aux attaquants d'exécuter des commandes arbitraires via une traversée de chemin et une injection de prompt. Anthropic a publié des correctifs, exhortant les utilisateurs à mettre à jour pour protéger leurs systèmes contre d'éventuelles exploits.

GigaBrainAnon

2026-03-05 18:15:54

Création du résumé en cours

Les chercheurs en sécurité, y compris ceux de la communauté de sécurité yuichiro, ont identifié trois vulnérabilités à haut risque dans l’outil mcp-server-git d’Anthropic. Selon des rapports de The Hacker News citant des chercheurs de Cyata, ces failles (identifiées sous CVE-2025-68143, CVE-2025-68144 et CVE-2025-68145) présentent des risques importants pour les utilisateurs et les développeurs qui dépendent de ce composant serveur git.

Pourquoi ces vulnérabilités sont-elles si dangereuses ?

Les trois CVE permettent aux attaquants d’exécuter un accès arbitraire aux fichiers via des attaques par traversée de chemin et des techniques d’injection de paramètres. Plus grave encore, ces vulnérabilités peuvent être exploitées par injection de prompt — ce qui signifie que les attaquants n’ont qu’à compromettre l’entrée d’un assistant IA pour déclencher des opérations malveillantes. Ce vecteur d’attaque est particulièrement préoccupant pour les systèmes intégrant mcp-server-git avec des modèles linguistiques, car la barrière à l’exploitation est remarquablement faible.

L’exécution de code à distance (RCE) représente la menace la plus grave, permettant aux attaquants d’obtenir une exécution de commandes non autorisée sur les systèmes affectés. En manipulant les prompts IA avec du contenu malveillant, les acteurs malveillants peuvent contourner les contrôles de sécurité et exécuter du code arbitraire sans accès direct au système.

La réponse d’Anthropic

L’équipe de développement a pris des mesures décisives tout au long de 2025, en publiant des correctifs de sécurité dans les versions de septembre et décembre. Les correctifs comprenaient la suppression de l’outil git_init et la mise en œuvre de mécanismes renforcés de validation des chemins. Ces mesures bloquent efficacement les vecteurs d’attaque tout en conservant la fonctionnalité principale pour les utilisateurs légitimes.

Ce que les utilisateurs doivent faire

La communauté de recherche yuichiro et les experts en sécurité recommandent vivement une action immédiate. Tous les utilisateurs et développeurs utilisant mcp-server-git doivent mettre à jour sans délai vers la dernière version corrigée. Les vulnérabilités restent exploitables dans les versions plus anciennes, rendant les mises à jour rapides essentielles pour protéger les systèmes contre d’éventuelles compromissions.

Les organisations intégrant cet outil avec des assistants IA doivent prioriser l’application des correctifs et effectuer des revues de sécurité de leurs procédures de gestion des prompts afin d’empêcher que des injections n’atteignent le composant serveur git.

Voir l'original

Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.