Mettez à jour vers la dernière version et surveillez les répertoires .git inattendus dans les dossiers hors référentiel, sont informés les développeurs.
Les acteurs malveillants pourraient utiliser des attaques par injection rapide pour tirer parti de trois vulnérabilités du serveur Git MCP officiel d’Anthropic et semer le chaos dans les systèmes d’IA.
Cette alerte provient de chercheurs de Cyata, basé en Israël, qui exhorte les responsables de la sécurité de l’information à s’assurer que les développeurs d’entreprise utilisant le serveur GIT MCP officiel mettent à jour la dernière version dès que possible.
Le risque est qu’un attaquant puisse exécuter du code non approuvé ou falsifier un modèle de langage étendu (LLM), compromettant ainsi sa sortie.
Bien que le serveur officiel Git MCP puisse être exploité seul, « la combinaison toxique se produit lorsque le serveur Git MCP et un serveur Filesystem MCP sont activés », a déclaré Shahar Tal, PDG de Cyata, dans une interview. « Alors cet agent (IA) court un risque critique. Nous exhortons les gens à utiliser les dernières versions (des deux applications). »
Les développeurs utilisant des versions antérieures à 2025-12.18 sont à risque.
Les trois vulnérabilités sont
- ·CVE-2025-68143, un fichier .
- ·CVE-2025-68145, un contournement de validation de chemin.
- ·CVE-2025-68144, une injection d’arguments dans .
Contrairement à d’autres vulnérabilités des serveurs MCP qui nécessitaient des configurations spécifiques, celles-ci fonctionnent immédiatement sur n’importe quelle configuration du serveur officiel d’Anthropic, explique Cyata.
Model Context Protocol (MCP) est un standard ouvert introduit par Anthropic en 2024 pour fournir un moyen unifié aux assistants d’IA (tels que Claude Desktop, Cursor, Windsurf et autres) d’interagir avec des outils et des sources de données externes, notamment des systèmes de fichiers, des bases de données, des API et des outils de développement comme Git.
Les serveurs MCP exposent des capacités à l’IA, agissant comme un pont entre le LLM et les systèmes externes.
Comme le souligne Cyata sur son blog, les serveurs MCP exécutent des actions basées sur les décisions LLM. Si un LLM peut être manipulé via une injection rapide, un acteur menaçant peut influencer le contexte de l’IA pour déclencher des appels à l’outil MCP avec des arguments contrôlés par l’attaquant.
Depuis qu’Anthropic a publié son modèle, des milliers de fournisseurs et de fournisseurs tiers ont publié des serveurs MCP officiels. Il existe également des serveurs non officiels pour les plateformes en ligne comme LinkedIn. Et, comme on pouvait s’y attendre, des escrocs circulent sur des serveurs MCP douteux.
Contenu associé: Ce que les RSSI doivent savoir sur la sécurisation des serveurs MCP
On ne sait pas combien de développeurs d’entreprise utilisent , le serveur officiel Git MCP maintenu par Anthropic. On ne sait pas non plus combien utilisent également le serveur Filesystem MCP.
Yarden Porat, chercheur à Cyata, a découvert pour la première fois que si un outil est appelé dans , le serveur utilisera le chemin qui lui est donné sans validation, de sorte qu’un attaquant pourrait créer un nouveau référentiel git avec un contenu malveillant qui pourrait être lu par le LLM.
Le deuxième trou réside dans un paramètre qui est transmis directement à la ligne de commande git sans désinfection. Cela signifie qu’un acteur malveillant peut injecter n’importe quel indicateur git, y compris celui qui pourrait écraser un fichier cible. Troisièmement, il a été découvert qu’un attaquant pouvait également supprimer des fichiers. Enfin, les chercheurs ont découvert que les attaquants pouvaient utiliser les filtres Smudge et Clean de Git pour exécuter du code.
« Tout ce que vous devez savoir – et cela dépend de l’agent que vous attaquez – c’est comment amener l’agent (IA) à lire quelque chose que vous contrôlez », a déclaré Tal. « C’est assez répandu. C’est une surface d’attaque très large. »
Contenu connexe : Top 10 des vulnérabilités MCP
Cyata affirme qu’une action défensive signifie non seulement la mise à jour vers la version 2025.12.18 ou ultérieure, mais également l’audit des serveurs MCP qui fonctionnent ensemble. La combinaison de Git + Filesystem augmente la surface d’attaque, affirment les chercheurs.
Les administrateurs doivent également surveiller les répertoires .git inattendus dans les dossiers hors référentiel.
« En général, il est très difficile de se protéger contre les vulnérabilités des serveurs MCP », a déclaré Tal. « La plupart des agents de type assistant ne vous permettent même pas de nettoyer les paramètres. Les agents développés en interne peuvent inclure diverses défenses contre les injections rapides, mais aucune n’est infaillible. »
Cyata dit avoir informé Anthropic du premier problème via le service de rapport de bogues HackerOne le 24 juin 2025. Anthropic l’a marqué comme informatif. Après que Cyata ait signalé le problème d’injection rapide, Anthropic a réexaminé, mais ce n’est que le 10 septembre que le rapport a été accepté. La nouvelle version de Git MCP Server est sortie le 18 décembre.
Dans une interview, Porat a suggéré que les dirigeants ou les développeurs de la sécurité de l’information n’auraient pas pu faire grand-chose entre la découverte de la vulnérabilité et la sortie de la version plus sécurisée de Git MCP Server. Une attaque par injection rapide fonctionnerait sur la version non corrigée, même dans sa configuration la plus sécurisée, a-t-il déclaré.
« Vous avez besoin de garde-fous autour de chaque agent (IA) et de ce qu’il peut faire, de ce qu’il peut toucher », a ajouté Tal. « Il faut également, en cas d’incident, pouvoir revenir sur tout ce que l’agent a fait. »
Le problème avec les serveurs MCP est qu’ils donnent au LLM l’accès pour exécuter des fonctions sensibles, a commenté Johannes Ullrich, doyen de la recherche à l’Institut SANS. « L’ampleur du problème dépend des fonctionnalités particulières auxquelles ils ont accès. Mais une fois qu’un serveur MCP est configuré, le LLM utilisera le contenu qu’il reçoit pour agir et exécuter du code (dans ce cas, dans git).
« Malheureusement, il est très peu probable que ce soit la dernière fois que nous constatons une injection rapide dans ce système. Il n’existe pas de solution simple pour les injections rapides, et vous allez généralement créer des pansements pour empêcher des exploits spécifiques. Pour un serveur MCP comme celui-ci, la meilleure option est de restreindre les données sur lesquelles il opère, afin qu’il utilise uniquement les données provenant de sources fiables et les fonctionnalités auxquelles il peut accéder. Un contrôle d’accès plus précis peut être utilisé pour mettre en œuvre cela. «
Tanya Janca, formatrice en codage sécurisé basée au Canada, a déclaré que pour atténuer les problèmes potentiels, les équipes de développement utilisant MCP devraient limiter l’accès et les privilèges des serveurs MCP (pas de racine, accès en lecture seule, accès local uniquement) et n’accorder aux utilisateurs que le minimum de privilèges dont ils ont besoin. Les administrateurs doivent valider complètement les chemins de fichiers, pas seulement la correspondance des préfixes, résoudre correctement les liens symboliques, toujours effectuer une validation minutieuse des entrées et utiliser des requêtes paramétrées.
