CVE-2026-27735

Nome do Software Vulnerável e Versões Afetadas Versões do mcp-server-git anteriores a 2026.1.14

Descrição O software Model Context Protocol Servers contém uma falha na qual a ferramenta git add não valida corretamente os caminhos de arquivo fornecidos no argumento files. Isso permite que caminhos relativos contendo sequências ../, que resolvem fora dos limites do repositório, sejam aceitos e adicionados ao índice do Git. Isso poderia potencialmente permitir que arquivos sensíveis sejam exfiltrados por meio de operações subsequentes de commit e push. A ferramenta utiliza o repo.index.add() do GitPython, que não impõe verificações de limites da working-tree. A correção envolve alternar para o repo.git.add(), que delega para a CLI do Git e impõe essas verificações.

Recomendações Atualize para a versão 2026.1.14 ou mais recente do mcp-server-git.