Vulnerabilidades críticas no servidor Git MCP da Anthropic

BR Defense Center (By River de Morais e Silva)
vulnerabilidade

Um conjunto de três vulnerabilidades de segurança foi revelado no mcp-server-git, o servidor oficial do Protocolo de Contexto de Modelo Git (MCP) mantido pela Anthropic. Essas falhas podem ser exploradas para ler ou deletar arquivos arbitrários e executar código sob certas condições. Segundo o pesquisador Yarden Porat, da Cyata, a exploração ocorre por meio de injeção de prompt, permitindo que um atacante influencie o que um assistente de IA lê, como um README malicioso ou uma descrição de problema comprometida, sem acesso direto ao sistema da vítima. As vulnerabilidades, identificadas como CVE-2025-68143, CVE-2025-68144 e CVE-2025-68145, têm pontuações CVSS que variam de 7.1 a 8.8, indicando um risco elevado. Elas foram corrigidas nas versões 2025.9.25 e 2025.12.18, após divulgação responsável em junho de 2025. A exploração bem-sucedida pode permitir que um atacante transforme qualquer diretório em um repositório Git e acesse repositórios no servidor. Em resposta, a ferramenta git_init foi removida do pacote e validações adicionais foram implementadas. Usuários são aconselhados a atualizar para as versões mais recentes para garantir proteção adequada.

Fonte: https://thehackernews.com/2026/01/three-flaws-in-anthropic-mcp-git-server.html

⚠️
BR DEFENSE CENTER: SECURITY BRIEFING
20/01/2026 • Risco: ALTO
VULNERABILIDADE

Vulnerabilidades críticas no servidor Git MCP da Anthropic

RESUMO EXECUTIVO
As vulnerabilidades no mcp-server-git da Anthropic representam um risco significativo para a segurança de sistemas que utilizam essa ferramenta. Com pontuações CVSS elevadas, a exploração dessas falhas pode resultar em acesso não autorizado a dados e execução de código malicioso, exigindo atenção imediata dos responsáveis pela segurança da informação.

💼 IMPACTO DE NEGÓCIO

Financeiro
Possíveis custos associados a incidentes de segurança e perda de dados.
Operacional
Possibilidade de leitura e modificação de arquivos críticos, além de execução de código malicioso.
Setores vulneráveis
['Tecnologia da Informação', 'Desenvolvimento de Software']

📊 INDICADORES CHAVE

CVE-2025-68143 com pontuação CVSS de 8.8 Indicador
CVE-2025-68144 com pontuação CVSS de 8.1 Contexto BR
CVE-2025-68145 com pontuação CVSS de 7.1 Urgência

⚡ AÇÕES IMEDIATAS

1 Verificar se a versão do mcp-server-git está atualizada.
2 Atualizar para as versões 2025.9.25 ou 2025.12.18.
3 Monitorar logs de acesso e atividades suspeitas relacionadas ao uso do servidor.

🇧🇷 RELEVÂNCIA BRASIL

CISOs devem se preocupar com a segurança de ferramentas amplamente utilizadas, pois falhas podem comprometer a integridade de sistemas e dados.

⚖️ COMPLIANCE

Implicações legais e de compliance com a LGPD em caso de vazamento de dados.
Status
mitigado
Verificação
alta
BR Defense Center

Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).