Meerdere kwetsbaarheden gevonden bij Git MCP-server Anthropic

dinsdag, 20 januari 2026 (14:40) - Techzine

In dit artikel:

Anthropic’s referentie-implementatie van het Model Context Protocol voor Git (mcp-server-git) bleek meerdere ernstige kwetsbaarheden te bevatten, ontdekt door Cyata Security. De kwetsbaarheden troffen alle implementaties die van vóór 18 december stammen; Anthropic bracht op 17 december patches uit en verwijderde onder andere de git_init-tool uit de server.

Cyata vond drie samenwerkende fouten: een onbeperkte git_init-functie die repositories op willekeurige bestandspaden kan aanmaken (CVE-2025-68143), een path-validation-bypass waardoor toegang mogelijk wordt tot repositories buiten de allowlist (CVE-2025-68145), en een argument-injectie in git_diff die niet-gezuiverde input aan de Git CLI doorgeeft (CVE-68144). Alleen al was elk probleem beperkt, maar gecombineerd kunnen ze leiden tot het lezen, verwijderen of overschrijven van willekeurige bestanden op het hostsysteem. In combinatie met de Filesystem MCP-server kan dit zelfs leiden tot uitvoering van shell-commando’s via Git’s smudge/clean-filters.

De kwetsbaarheden zijn extra zorgwekkend omdat MCP-servers de backbone vormen voor agents die met grote taalmodellen werken; via prompt injection — bijvoorbeeld een kwaadaardig README, een vergiftigde issue-tekst of een gekaapte webpagina — kunnen aanvallers zo’n keten aanroepen zonder credentials of directe shelltoegang. Shahar Tal van Cyata noemde Anthropic’s implementatie de “canonieke” Git MCP-server en gebruikte dat om te benadrukken dat het hele MCP-ecosysteem betere beveiliging nodig heeft.

Organisaties wordt dringend geadviseerd mcp-server-git meteen te updaten naar de gepatchte versie. Verder zijn aanbevolen mitigaties: behandel alle MCP-toolargumenten als onbetrouwbare input, beperk welke MCP-servers en tools agents mogen aanroepen en beoordeel agentpermissies holistisch in plaats van per tool.

Aanvullende context: het voorval illustreert bredere risico’s bij het integraal openstellen van ontwikkel- en bestandsbronnen voor LLM-gestuurde agents en bevestigt waarom prompt-injectie hoog op de OWASP-lijst voor AI-applicaties staat.