Anthropic tarafından sağlanan resmi Git Model Bağlam Protokolü (MCP) sunucusu olan mcp-server-git’te, rastgele dosyaları okumak veya silmek ve belirli koşullar altında kod yürütmek için kullanılabilecek üç güvenlik açığı ortaya çıktı.
Cyata araştırmacısı Yarden Porat, The Hacker News ile paylaştığı bir raporda, “Bu kusurlar, hızlı enjeksiyon yoluyla istismar edilebilir; bu, bir AI asistanının okuduğu şeyi (kötü niyetli bir README, zehirlenmiş bir sorun açıklaması, tehlikeye atılmış bir web sayfası) etkileyebilen bir saldırganın, kurbanın sistemine doğrudan erişim olmadan bu güvenlik açıklarını silah haline getirebileceği anlamına gelir.” dedi.
Mcp-server-git, Git depolarını büyük dil modelleri (LLM’ler) aracılığıyla programlı olarak okumak, aramak ve değiştirmek için bir dizi yerleşik araç sağlayan bir Python paketi ve bir MCP sunucusudur.
Haziran 2025’teki sorumlu açıklamanın ardından 2025.9.25 ve 2025.12.18 sürümlerinde ele alınan güvenlik sorunları aşağıda listelenmiştir:
- CVE-2025-68143 (CVSS puanı: 8,8 [v3] / 6.5 [v4]) – git_init aracının, depo oluşturma sırasında doğrulama olmadan rastgele dosya sistemi yollarını kabul etmesi sonucu ortaya çıkan bir yol geçiş güvenlik açığı (2025.9.25 sürümünde düzeltildi)
- CVE-2025-68144 (CVSS puanı: 8.1 [v3] / 6.4 [v4]) – git_diff ve git_checkout işlevlerinin, kullanıcı tarafından kontrol edilen argümanları temizlemeden doğrudan git CLI komutlarına iletmesi sonucu ortaya çıkan argüman ekleme güvenlik açığı (2025.12.18 sürümünde düzeltildi)
- CVE-2025-68145 (CVSS puanı: 7,1 [v3] / 6.3 [v4]) – İşlemleri belirli bir depo yolu ile sınırlamak için –repository bayrağını kullanırken eksik yol doğrulamasının bir sonucu olarak ortaya çıkan bir yol geçiş güvenlik açığı (2025.12.18 sürümünde düzeltildi)
Yukarıdaki güvenlik açıklarından başarıyla yararlanılması, bir saldırganın sistemdeki herhangi bir dizini Git deposuna dönüştürmesine, boş fark içeren herhangi bir dosyanın üzerine yazmasına ve sunucudaki herhangi bir depoya erişmesine olanak tanıyabilir.
Cyata tarafından belgelenen bir saldırı senaryosunda, üç güvenlik açığı Dosya Sistemi MCP sunucusuyla zincirlenerek bir “.git/config” dosyasına (genellikle gizli .git dizininde bulunur) yazılabilir ve hızlı enjeksiyon yoluyla git_init çağrısını tetikleyerek uzaktan kod yürütülmesi sağlanabilir.
- Yazılabilir bir dizinde repo oluşturmak için git_init kullanın
- Temiz bir filtreyle kötü amaçlı bir .git/config yazmak için Dosya Sistemi MCP sunucusunu kullanın
- Filtreyi belirli dosyalara uygulamak için bir .gitattributes dosyası yazın
- Yükü içeren bir kabuk betiği yazın
- Filtreyi tetikleyen bir dosya yazın
- Temiz filtreyi çalıştıran ve yükü çalıştıran git_add’ı çağırın
Bulgulara yanıt olarak git_init aracı paketten çıkarıldı ve yol geçiş ilkellerini önlemek için ekstra doğrulama eklendi. Optimum koruma için Python paketi kullanıcılarının en son sürüme güncellemeleri önerilir.
Agentic AI güvenlik şirketi Cyata’nın CEO’su ve kurucu ortağı Shahar Tal, “Bu, geliştiricilerin kopyalaması beklenen standart Git MCP sunucusudur” dedi. “Referans uygulamada bile güvenlik sınırları bozulursa, bu, tüm MCP ekosisteminin daha derin bir incelemeye ihtiyaç duyduğunun bir işaretidir. Bunlar uç durumlar veya egzotik yapılandırmalar değildir, kutudan çıktığı gibi çalışırlar.”