Most recent sightings.

https://vulnerability.circl.lu/sightings/feed Most recent sightings. 2026-06-25T11:28:40.838632+00:00 Vulnerability-Lookup info@circl.lu python-feedgen Contains only the most 10 recent sightings. https://vulnerability.circl.lu/sighting/b391c1d0-2674-411f-a265-9e08768883da/export b391c1d0-2674-411f-a265-9e08768883da 2026-06-25T11:28:40.862185+00:00 Automation user https://vulnerability.circl.lu/user/automation {"uuid": "b391c1d0-2674-411f-a265-9e08768883da", "vulnerability_lookup_origin": "1a89b78e-f703-45f3-bb86-59eb712668bd", "author": "9f56dd64-161d-43a6-b9c3-555944290a09", "vulnerability": "CVE-2025-68143", "type": "seen", "source": "https://bsky.app/profile/securityrss.bsky.social/post/3mcvrz5dlye2z", "content": "", "creation_timestamp": "2026-01-21T04:02:32.249141Z"} 2026-01-21T04:02:32.249141+00:00 https://vulnerability.circl.lu/sighting/da83b570-1a0d-4d69-a38c-13ae32c4ba90/export da83b570-1a0d-4d69-a38c-13ae32c4ba90 2026-06-25T11:28:40.862061+00:00 Automation user https://vulnerability.circl.lu/user/automation {"uuid": "da83b570-1a0d-4d69-a38c-13ae32c4ba90", "vulnerability_lookup_origin": "1a89b78e-f703-45f3-bb86-59eb712668bd", "author": "9f56dd64-161d-43a6-b9c3-555944290a09", "vulnerability": "CVE-2025-68144", "type": "seen", "source": "https://bsky.app/profile/securityrss.bsky.social/post/3mcvrz5dlye2z", "content": "", "creation_timestamp": "2026-01-21T04:02:32.326399Z"} 2026-01-21T04:02:32.326399+00:00 https://vulnerability.circl.lu/sighting/d9b963b9-0453-48a9-9e17-9c9636bccd6a/export d9b963b9-0453-48a9-9e17-9c9636bccd6a 2026-06-25T11:28:40.861955+00:00 Automation user https://vulnerability.circl.lu/user/automation {"uuid": "d9b963b9-0453-48a9-9e17-9c9636bccd6a", "vulnerability_lookup_origin": "1a89b78e-f703-45f3-bb86-59eb712668bd", "author": "9f56dd64-161d-43a6-b9c3-555944290a09", "vulnerability": "CVE-2025-68141", "type": "seen", "source": "https://bsky.app/profile/cve.skyfleet.blue/post/3mcxlwe45qg2t", "content": "", "creation_timestamp": "2026-01-21T21:18:54.517235Z"} 2026-01-21T21:18:54.517235+00:00 https://vulnerability.circl.lu/sighting/20d24d1c-3bf3-454a-9dad-30e4e8fdf59f/export 20d24d1c-3bf3-454a-9dad-30e4e8fdf59f 2026-06-25T11:28:40.861848+00:00 Automation user https://vulnerability.circl.lu/user/automation {"uuid": "20d24d1c-3bf3-454a-9dad-30e4e8fdf59f", "vulnerability_lookup_origin": "1a89b78e-f703-45f3-bb86-59eb712668bd", "author": "9f56dd64-161d-43a6-b9c3-555944290a09", "vulnerability": "CVE-2025-68140", "type": "seen", "source": "https://bsky.app/profile/cve.skyfleet.blue/post/3mcxmrwxuqp2c", "content": "", "creation_timestamp": "2026-01-21T21:34:20.187528Z"} 2026-01-21T21:34:20.187528+00:00 https://vulnerability.circl.lu/sighting/e14a0d0b-701b-46c0-a976-9b3a6c11482d/export e14a0d0b-701b-46c0-a976-9b3a6c11482d 2026-06-25T11:28:40.861739+00:00 Automation user https://vulnerability.circl.lu/user/automation {"uuid": "e14a0d0b-701b-46c0-a976-9b3a6c11482d", "vulnerability_lookup_origin": "1a89b78e-f703-45f3-bb86-59eb712668bd", "author": "9f56dd64-161d-43a6-b9c3-555944290a09", "vulnerability": "CVE-2025-68145", "type": "seen", "source": "Telegram/X69Hoh6_4i7djUBejuAQijXCf66Jnc_uFnYRKez2YtZF33U", "content": "", "creation_timestamp": "2026-04-14T17:27:49.000000Z"} 2026-04-14T17:27:49+00:00 https://vulnerability.circl.lu/sighting/85f0370b-65f9-4233-b059-07be242f5951/export 85f0370b-65f9-4233-b059-07be242f5951 2026-06-25T11:28:40.861623+00:00 Automation user https://vulnerability.circl.lu/user/automation {"uuid": "85f0370b-65f9-4233-b059-07be242f5951", "vulnerability_lookup_origin": "1a89b78e-f703-45f3-bb86-59eb712668bd", "author": "9f56dd64-161d-43a6-b9c3-555944290a09", "vulnerability": "CVE-2025-68144", "type": "seen", "source": "Telegram/X69Hoh6_4i7djUBejuAQijXCf66Jnc_uFnYRKez2YtZF33U", "content": "", "creation_timestamp": "2026-04-14T17:27:49.000000Z"} 2026-04-14T17:27:49+00:00 https://vulnerability.circl.lu/sighting/b2739ee6-4736-4a14-aefa-351fe09985b3/export b2739ee6-4736-4a14-aefa-351fe09985b3 2026-06-25T11:28:40.861506+00:00 Automation user https://vulnerability.circl.lu/user/automation {"uuid": "b2739ee6-4736-4a14-aefa-351fe09985b3", "vulnerability_lookup_origin": "1a89b78e-f703-45f3-bb86-59eb712668bd", "author": "9f56dd64-161d-43a6-b9c3-555944290a09", "vulnerability": "CVE-2025-68143", "type": "seen", "source": "Telegram/X69Hoh6_4i7djUBejuAQijXCf66Jnc_uFnYRKez2YtZF33U", "content": "", "creation_timestamp": "2026-04-14T17:27:49.000000Z"} 2026-04-14T17:27:49+00:00 https://vulnerability.circl.lu/sighting/2e728064-94b0-42ba-9814-76f1fd1d0a7f/export 2e728064-94b0-42ba-9814-76f1fd1d0a7f 2026-06-25T11:28:40.861383+00:00 Automation user https://vulnerability.circl.lu/user/automation {"uuid": "2e728064-94b0-42ba-9814-76f1fd1d0a7f", "vulnerability_lookup_origin": "1a89b78e-f703-45f3-bb86-59eb712668bd", "author": "9f56dd64-161d-43a6-b9c3-555944290a09", "vulnerability": "CVE-2025-68145", "type": "seen", "source": "Telegram/ylyKsnGn7IUGtPSj_SQJxYkLCLx52u0woajEqQVy7zzhnhE", "content": "", "creation_timestamp": "2026-04-14T17:27:59.000000Z"} 2026-04-14T17:27:59+00:00 https://vulnerability.circl.lu/sighting/d7040f4f-270c-4b60-90cf-6af0d6094c94/export d7040f4f-270c-4b60-90cf-6af0d6094c94 2026-06-25T11:28:40.861176+00:00 Automation user https://vulnerability.circl.lu/user/automation {"uuid": "d7040f4f-270c-4b60-90cf-6af0d6094c94", "vulnerability_lookup_origin": "1a89b78e-f703-45f3-bb86-59eb712668bd", "author": "9f56dd64-161d-43a6-b9c3-555944290a09", "vulnerability": "CVE-2025-68143", "type": "seen", "source": "https://t.me/codeby_sec/10171", "content": "43% MCP-\u0441\u0435\u0440\u0432\u0435\u0440\u043e\u0432 \u0443\u044f\u0437\u0432\u0438\u043c\u044b \u043a \u0438\u043d\u044a\u0435\u043a\u0446\u0438\u044f\u043c \u043a\u043e\u043c\u0430\u043d\u0434. \u0410 \u0432\u0430\u0448 \u0440\u0430\u0437\u0440\u0430\u0431\u043e\u0442\u0447\u0438\u043a \u0442\u043e\u043b\u044c\u043a\u043e \u0447\u0442\u043e \u043f\u043e\u0441\u0442\u0430\u0432\u0438\u043b \u0435\u0449\u0451 \u043e\u0434\u0438\u043d\n\n\u0417\u0430 \u043f\u043e\u0441\u043b\u0435\u0434\u043d\u0438\u0435 \u043f\u043e\u043b\u0433\u043e\u0434\u0430 MCP-\u0441\u0435\u0440\u0432\u0435\u0440\u044b \u0441\u0442\u0430\u043b\u0438 \u0441\u0442\u0430\u043d\u0434\u0430\u0440\u0442\u043d\u043e\u0439 \u0447\u0430\u0441\u0442\u044c\u044e \u0440\u0430\u0431\u043e\u0447\u0435\u0433\u043e \u043e\u043a\u0440\u0443\u0436\u0435\u043d\u0438\u044f \u0440\u0430\u0437\u0440\u0430\u0431\u043e\u0442\u0447\u0438\u043a\u043e\u0432. Cursor, Claude Desktop, \u043a\u0430\u0441\u0442\u043e\u043c\u043d\u044b\u0435 \u043f\u0440\u043e\u043a\u0441\u0438 \u043a \u0432\u043d\u0443\u0442\u0440\u0435\u043d\u043d\u0438\u043c API \u2014 \u0432\u0441\u0451 \u044d\u0442\u043e \u043f\u043e\u0434\u043a\u043b\u044e\u0447\u0430\u0435\u0442\u0441\u044f \u0437\u0430 \u043c\u0438\u043d\u0443\u0442\u0443 \u0438 \u043f\u043e\u043b\u0443\u0447\u0430\u0435\u0442 \u043f\u0440\u044f\u043c\u043e\u0439 \u0434\u043e\u0441\u0442\u0443\u043f \u043a \u0444\u0430\u0439\u043b\u043e\u0432\u043e\u0439 \u0441\u0438\u0441\u0442\u0435\u043c\u0435, \u043f\u0435\u0440\u0435\u043c\u0435\u043d\u043d\u044b\u043c \u043e\u043a\u0440\u0443\u0436\u0435\u043d\u0438\u044f \u0438 \u0441\u0435\u0442\u0435\u0432\u044b\u043c \u0440\u0435\u0441\u0443\u0440\u0441\u0430\u043c \u0445\u043e\u0441\u0442\u0430. \u041f\u0440\u043e\u0431\u043b\u0435\u043c\u0430 \u0432 \u0442\u043e\u043c, \u0447\u0442\u043e \u044d\u0442\u0438 \u0441\u0435\u0440\u0432\u0435\u0440\u044b \u043f\u043e\u0447\u0442\u0438 \u043d\u0438\u043a\u043e\u0433\u0434\u0430 \u043d\u0435 \u043f\u0440\u043e\u0445\u043e\u0434\u044f\u0442 security review.\n\n\ud83d\udd0d \u041f\u043e \u0434\u0430\u043d\u043d\u044b\u043c Equixly, \u043a\u0430\u0440\u0442\u0438\u043d\u0430 \u0442\u0430\u043a\u0430\u044f: 43% \u043f\u0440\u043e\u0442\u0435\u0441\u0442\u0438\u0440\u043e\u0432\u0430\u043d\u043d\u044b\u0445 MCP-\u0441\u0435\u0440\u0432\u0435\u0440\u043e\u0432 \u0441\u043e\u0434\u0435\u0440\u0436\u0430\u0442 command injection, 30% \u2014 SSRF, 22% \u2014 path traversal. \u0418 \u044d\u0442\u043e \u043d\u0435 \u044d\u043a\u0437\u043e\u0442\u0438\u043a\u0430 \u2014 \u044d\u0442\u043e \u0441\u0435\u0440\u0432\u0435\u0440\u044b, \u043a\u043e\u0442\u043e\u0440\u044b\u0435 \u0440\u0430\u0437\u0440\u0430\u0431\u043e\u0442\u0447\u0438\u043a\u0438 \u0441\u0442\u0430\u0432\u044f\u0442 \u0434\u043e\u0431\u0440\u043e\u0432\u043e\u043b\u044c\u043d\u043e \u0438 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u044e\u0442 \u043a\u0430\u0436\u0434\u044b\u0439 \u0434\u0435\u043d\u044c.\n\n\u041f\u043e\u0447\u0435\u043c\u0443 \u044d\u0442\u043e \u043e\u043f\u0430\u0441\u043d\u043e? MCP-\u0441\u0435\u0440\u0432\u0435\u0440 \u043f\u043e \u0441\u0443\u0442\u0438 \u2014 \u043d\u0435\u0430\u0443\u0442\u0435\u043d\u0442\u0438\u0444\u0438\u0446\u0438\u0440\u043e\u0432\u0430\u043d\u043d\u044b\u0439 API \u0441 \u0434\u043e\u0441\u0442\u0443\u043f\u043e\u043c \u043a shell-\u043a\u043e\u043c\u0430\u043d\u0434\u0430\u043c. \u0421\u043f\u0435\u0446\u0438\u0444\u0438\u043a\u0430\u0446\u0438\u044f \u043f\u0440\u0435\u0434\u043b\u0430\u0433\u0430\u0435\u0442 OAuth 2.0, \u043d\u043e \u043d\u0430 \u043f\u0440\u0430\u043a\u0442\u0438\u043a\u0435 \u0431\u043e\u043b\u044c\u0448\u0438\u043d\u0441\u0442\u0432\u043e \u0441\u0435\u0440\u0432\u0435\u0440\u043e\u0432 \u0437\u0430\u043f\u0443\u0441\u043a\u0430\u044e\u0442\u0441\u044f \u0431\u0435\u0437 \u0430\u0432\u0442\u043e\u0440\u0438\u0437\u0430\u0446\u0438\u0438 \u0432\u043e\u043e\u0431\u0449\u0435. \u0412\u0430\u043b\u0438\u0434\u0430\u0446\u0438\u044f \u043f\u0430\u0440\u0430\u043c\u0435\u0442\u0440\u043e\u0432 \u2014 \u043d\u0430 \u0441\u043e\u0432\u0435\u0441\u0442\u0438 \u0440\u0430\u0437\u0440\u0430\u0431\u043e\u0442\u0447\u0438\u043a\u0430. \u0410 \u0433\u043b\u0430\u0432\u043d\u043e\u0435: MCP-\u0441\u0435\u0440\u0432\u0435\u0440 \u043c\u043e\u0436\u043d\u043e \u0432\u044b\u0437\u0432\u0430\u0442\u044c \u043d\u0430\u043f\u0440\u044f\u043c\u0443\u044e, \u043c\u0438\u043d\u0443\u044f LLM. \u041a\u0442\u043e \u0434\u043e\u0431\u0440\u0430\u043b\u0441\u044f \u0434\u043e \u044d\u043d\u0434\u043f\u043e\u0438\u043d\u0442\u0430 \u2014 \u0448\u043b\u0451\u0442 JSON-RPC-\u0437\u0430\u043f\u0440\u043e\u0441\u044b \u043a \u0438\u043d\u0441\u0442\u0440\u0443\u043c\u0435\u043d\u0442\u0430\u043c \u0431\u0435\u0437 \u043a\u0430\u043a\u043e\u0433\u043e-\u043b\u0438\u0431\u043e \u043a\u043e\u043d\u0442\u0440\u043e\u043b\u044f.\n\n\u26a1 \u0421\u0432\u0435\u0436\u0438\u0439 \u043f\u0440\u0438\u043c\u0435\u0440 \u2014 \u0442\u0440\u0438 CVE \u0432 \u043e\u0444\u0438\u0446\u0438\u0430\u043b\u044c\u043d\u043e\u043c mcp-server-git. \u041e\u0434\u043d\u0430 \u0438\u0437 \u043d\u0438\u0445 (CVE-2025-68143) \u043f\u043e\u0437\u0432\u043e\u043b\u044f\u043b\u0430 \u0447\u0435\u0440\u0435\u0437 \u0438\u043d\u0441\u0442\u0440\u0443\u043c\u0435\u043d\u0442 git_init \u043f\u0440\u0435\u0432\u0440\u0430\u0442\u0438\u0442\u044c \u043b\u044e\u0431\u0443\u044e \u0434\u0438\u0440\u0435\u043a\u0442\u043e\u0440\u0438\u044e \u0432 git-\u0440\u0435\u043f\u043e\u0437\u0438\u0442\u043e\u0440\u0438\u0439, \u0430 \u0437\u0430\u0442\u0435\u043c \u0447\u0438\u0442\u0430\u0442\u044c \u0438\u0437 \u043d\u0435\u0451 \u0444\u0430\u0439\u043b\u044b \u0447\u0435\u0440\u0435\u0437 git show. \u0420\u0435\u0448\u0435\u043d\u0438\u0435 \u043e\u0442 \u043c\u0435\u0439\u043d\u0442\u0435\u0439\u043d\u0435\u0440\u043e\u0432? \u041f\u043e\u043b\u043d\u043e\u0441\u0442\u044c\u044e \u0443\u0434\u0430\u043b\u0438\u043b\u0438 \u0438\u043d\u0441\u0442\u0440\u0443\u043c\u0435\u043d\u0442 \u0438\u0437 \u043a\u043e\u0434\u043e\u0432\u043e\u0439 \u0431\u0430\u0437\u044b. \u0414\u0440\u0443\u0433\u0430\u044f (CVE-2025-68144) \u2014 argument injection: \u043f\u0430\u0440\u0430\u043c\u0435\u0442\u0440\u044b git_diff \u0438 git_checkout \u043f\u0435\u0440\u0435\u0434\u0430\u0432\u0430\u043b\u0438\u0441\u044c \u0432 CLI \u0431\u0435\u0437 \u0441\u0430\u043d\u0438\u0442\u0438\u0437\u0430\u0446\u0438\u0438. \u0417\u043d\u0430\u0447\u0435\u043d\u0438\u0435 \u0432\u0440\u043e\u0434\u0435 --output=/etc/passwd \u0438\u043d\u0442\u0435\u0440\u043f\u0440\u0435\u0442\u0438\u0440\u043e\u0432\u0430\u043b\u043e\u0441\u044c \u043a\u0430\u043a \u043e\u043f\u0446\u0438\u044f \u043a\u043e\u043c\u0430\u043d\u0434\u043d\u043e\u0439 \u0441\u0442\u0440\u043e\u043a\u0438.\n\n\u041a\u0430\u0436\u0434\u0430\u044f \u0443\u044f\u0437\u0432\u0438\u043c\u043e\u0441\u0442\u044c \u043f\u043e \u043e\u0442\u0434\u0435\u043b\u044c\u043d\u043e\u0441\u0442\u0438 \u2014 CVSS 6.3\u20136.5, \u0441\u0440\u0435\u0434\u043d\u0438\u0439 \u0443\u0440\u043e\u0432\u0435\u043d\u044c. \u041d\u043e \u0432 \u0446\u0435\u043f\u043e\u0447\u043a\u0435 \u0441 prompt injection \u0438\u043c\u043f\u0430\u043a\u0442 \u0432\u043e\u0437\u0440\u0430\u0441\u0442\u0430\u0435\u0442 \u043a\u0440\u0430\u0442\u043d\u043e: \u0432\u0440\u0435\u0434\u043e\u043d\u043e\u0441\u043d\u0430\u044f \u0438\u043d\u0441\u0442\u0440\u0443\u043a\u0446\u0438\u044f \u0432 README \u0440\u0435\u043f\u043e\u0437\u0438\u0442\u043e\u0440\u0438\u044f \u0437\u0430\u0441\u0442\u0430\u0432\u043b\u044f\u0435\u0442 LLM \u0432\u044b\u0437\u0432\u0430\u0442\u044c \u0443\u044f\u0437\u0432\u0438\u043c\u044b\u0439 \u0438\u043d\u0441\u0442\u0440\u0443\u043c\u0435\u043d\u0442, \u0430 \u0440\u0430\u0437\u0440\u0430\u0431\u043e\u0442\u0447\u0438\u043a \u0436\u043c\u0451\u0442 \u00ab\u0420\u0430\u0437\u0440\u0435\u0448\u0438\u0442\u044c\u00bb \u043d\u0430 \u0430\u0432\u0442\u043e\u043f\u0438\u043b\u043e\u0442\u0435 \u2014 \u0434\u0435\u0441\u044f\u0442\u043a\u0438 \u0440\u0430\u0437 \u0432 \u0434\u0435\u043d\u044c.\n\n\ud83c\udfaf \u0421 \u0442\u043e\u0447\u043a\u0438 \u0437\u0440\u0435\u043d\u0438\u044f kill chain MCP-\u0441\u0435\u0440\u0432\u0435\u0440\u044b \u0437\u0430\u043a\u0440\u044b\u0432\u0430\u044e\u0442 \u0441\u0440\u0430\u0437\u0443 \u043d\u0435\u0441\u043a\u043e\u043b\u044c\u043a\u043e \u044d\u0442\u0430\u043f\u043e\u0432:\n\n\u2022 Initial Access \u2014 \u0443\u0434\u0430\u043b\u0451\u043d\u043d\u044b\u0439 \u0441\u0435\u0440\u0432\u0435\u0440 \u043d\u0430 Streamable HTTP \u0431\u0435\u0437 \u0430\u0443\u0442\u0435\u043d\u0442\u0438\u0444\u0438\u043a\u0430\u0446\u0438\u0438\n\u2022 Execution \u2014 command injection \u0447\u0435\u0440\u0435\u0437 tool-\u043f\u0430\u0440\u0430\u043c\u0435\u0442\u0440\u044b\n\u2022 Credential Access \u2014 \u0447\u0442\u0435\u043d\u0438\u0435 .env, SSH-\u043a\u043b\u044e\u0447\u0435\u0439, API-\u0442\u043e\u043a\u0435\u043d\u043e\u0432\n\u2022 Collection \u2014 path traversal \u043a \u0438\u0441\u0445\u043e\u0434\u043d\u0438\u043a\u0430\u043c \u0438 \u043a\u043e\u043d\u0444\u0438\u0433\u0430\u043c CI/CD\n\n\u0421\u0430\u043c\u044b\u0439 \u0440\u0435\u0430\u043b\u0438\u0441\u0442\u0438\u0447\u043d\u044b\u0439 \u0441\u0446\u0435\u043d\u0430\u0440\u0438\u0439 \u2014 \u0432\u043d\u0443\u0442\u0440\u0435\u043d\u043d\u0438\u0439 \u043f\u0435\u043d\u0442\u0435\u0441\u0442 \u0438\u043b\u0438 red team \u0441 \u0434\u043e\u0441\u0442\u0443\u043f\u043e\u043c \u043a \u0441\u0435\u0433\u043c\u0435\u043d\u0442\u0443 \u0440\u0430\u0437\u0440\u0430\u0431\u043e\u0442\u043a\u0438. \u041c\u0430\u0448\u0438\u043d\u0430 \u0440\u0430\u0437\u0440\u0430\u0431\u043e\u0442\u0447\u0438\u043a\u0430 \u0441 MCP-\u0441\u0435\u0440\u0432\u0435\u0440\u043e\u043c \u2014 \u044d\u0442\u043e \u043e\u0434\u043d\u043e\u0432\u0440\u0435\u043c\u0435\u043d\u043d\u043e \u0442\u043e\u0447\u043a\u0430 \u0432\u0445\u043e\u0434\u0430, \u0438\u0441\u0442\u043e\u0447\u043d\u0438\u043a \u043a\u0440\u0435\u0434\u0435\u043d\u0448\u0430\u043b\u043e\u0432 \u0438 \u043f\u043b\u0430\u0446\u0434\u0430\u0440\u043c \u0434\u043b\u044f lateral movement.\n\n\u041f\u043e\u043b\u043d\u044b\u0439 \u0440\u0430\u0437\u0431\u043e\u0440 \u0441 \u043a\u043e\u043d\u043a\u0440\u0435\u0442\u043d\u044b\u043c\u0438 PoC, \u0446\u0435\u043f\u043e\u0447\u043a\u0430\u043c\u0438 \u0430\u0442\u0430\u043a \u0438 \u0440\u0435\u043a\u043e\u043c\u0435\u043d\u0434\u0430\u0446\u0438\u044f\u043c\u0438 \u043f\u043e \u0437\u0430\u0449\u0438\u0442\u0435 \u2014 \u0432 \u0441\u0442\u0430\u0442\u044c\u0435 \u043d\u0430 \u0444\u043e\u0440\u0443\u043c\u0435.\n\nhttps://codeby.net/threads/uyazvimosti-mcp-serverov-rce-ssrf-i-in-yektsii-cherez-odin-post-zapros.93746/", "creation_timestamp": "2026-06-04T15:02:10.000000Z"} 2026-06-04T15:02:10+00:00 https://vulnerability.circl.lu/sighting/e6450f76-e74c-473a-929d-97d620f6a46b/export e6450f76-e74c-473a-929d-97d620f6a46b 2026-06-25T11:28:40.859405+00:00 Automation user https://vulnerability.circl.lu/user/automation {"uuid": "e6450f76-e74c-473a-929d-97d620f6a46b", "vulnerability_lookup_origin": "1a89b78e-f703-45f3-bb86-59eb712668bd", "author": "9f56dd64-161d-43a6-b9c3-555944290a09", "vulnerability": "CVE-2025-68144", "type": "published-proof-of-concept", "source": "https://t.me/codeby_sec/10171", "content": "43% MCP-\u0441\u0435\u0440\u0432\u0435\u0440\u043e\u0432 \u0443\u044f\u0437\u0432\u0438\u043c\u044b \u043a \u0438\u043d\u044a\u0435\u043a\u0446\u0438\u044f\u043c \u043a\u043e\u043c\u0430\u043d\u0434. \u0410 \u0432\u0430\u0448 \u0440\u0430\u0437\u0440\u0430\u0431\u043e\u0442\u0447\u0438\u043a \u0442\u043e\u043b\u044c\u043a\u043e \u0447\u0442\u043e \u043f\u043e\u0441\u0442\u0430\u0432\u0438\u043b \u0435\u0449\u0451 \u043e\u0434\u0438\u043d\n\n\u0417\u0430 \u043f\u043e\u0441\u043b\u0435\u0434\u043d\u0438\u0435 \u043f\u043e\u043b\u0433\u043e\u0434\u0430 MCP-\u0441\u0435\u0440\u0432\u0435\u0440\u044b \u0441\u0442\u0430\u043b\u0438 \u0441\u0442\u0430\u043d\u0434\u0430\u0440\u0442\u043d\u043e\u0439 \u0447\u0430\u0441\u0442\u044c\u044e \u0440\u0430\u0431\u043e\u0447\u0435\u0433\u043e \u043e\u043a\u0440\u0443\u0436\u0435\u043d\u0438\u044f \u0440\u0430\u0437\u0440\u0430\u0431\u043e\u0442\u0447\u0438\u043a\u043e\u0432. Cursor, Claude Desktop, \u043a\u0430\u0441\u0442\u043e\u043c\u043d\u044b\u0435 \u043f\u0440\u043e\u043a\u0441\u0438 \u043a \u0432\u043d\u0443\u0442\u0440\u0435\u043d\u043d\u0438\u043c API \u2014 \u0432\u0441\u0451 \u044d\u0442\u043e \u043f\u043e\u0434\u043a\u043b\u044e\u0447\u0430\u0435\u0442\u0441\u044f \u0437\u0430 \u043c\u0438\u043d\u0443\u0442\u0443 \u0438 \u043f\u043e\u043b\u0443\u0447\u0430\u0435\u0442 \u043f\u0440\u044f\u043c\u043e\u0439 \u0434\u043e\u0441\u0442\u0443\u043f \u043a \u0444\u0430\u0439\u043b\u043e\u0432\u043e\u0439 \u0441\u0438\u0441\u0442\u0435\u043c\u0435, \u043f\u0435\u0440\u0435\u043c\u0435\u043d\u043d\u044b\u043c \u043e\u043a\u0440\u0443\u0436\u0435\u043d\u0438\u044f \u0438 \u0441\u0435\u0442\u0435\u0432\u044b\u043c \u0440\u0435\u0441\u0443\u0440\u0441\u0430\u043c \u0445\u043e\u0441\u0442\u0430. \u041f\u0440\u043e\u0431\u043b\u0435\u043c\u0430 \u0432 \u0442\u043e\u043c, \u0447\u0442\u043e \u044d\u0442\u0438 \u0441\u0435\u0440\u0432\u0435\u0440\u044b \u043f\u043e\u0447\u0442\u0438 \u043d\u0438\u043a\u043e\u0433\u0434\u0430 \u043d\u0435 \u043f\u0440\u043e\u0445\u043e\u0434\u044f\u0442 security review.\n\n\ud83d\udd0d \u041f\u043e \u0434\u0430\u043d\u043d\u044b\u043c Equixly, \u043a\u0430\u0440\u0442\u0438\u043d\u0430 \u0442\u0430\u043a\u0430\u044f: 43% \u043f\u0440\u043e\u0442\u0435\u0441\u0442\u0438\u0440\u043e\u0432\u0430\u043d\u043d\u044b\u0445 MCP-\u0441\u0435\u0440\u0432\u0435\u0440\u043e\u0432 \u0441\u043e\u0434\u0435\u0440\u0436\u0430\u0442 command injection, 30% \u2014 SSRF, 22% \u2014 path traversal. \u0418 \u044d\u0442\u043e \u043d\u0435 \u044d\u043a\u0437\u043e\u0442\u0438\u043a\u0430 \u2014 \u044d\u0442\u043e \u0441\u0435\u0440\u0432\u0435\u0440\u044b, \u043a\u043e\u0442\u043e\u0440\u044b\u0435 \u0440\u0430\u0437\u0440\u0430\u0431\u043e\u0442\u0447\u0438\u043a\u0438 \u0441\u0442\u0430\u0432\u044f\u0442 \u0434\u043e\u0431\u0440\u043e\u0432\u043e\u043b\u044c\u043d\u043e \u0438 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u044e\u0442 \u043a\u0430\u0436\u0434\u044b\u0439 \u0434\u0435\u043d\u044c.\n\n\u041f\u043e\u0447\u0435\u043c\u0443 \u044d\u0442\u043e \u043e\u043f\u0430\u0441\u043d\u043e? MCP-\u0441\u0435\u0440\u0432\u0435\u0440 \u043f\u043e \u0441\u0443\u0442\u0438 \u2014 \u043d\u0435\u0430\u0443\u0442\u0435\u043d\u0442\u0438\u0444\u0438\u0446\u0438\u0440\u043e\u0432\u0430\u043d\u043d\u044b\u0439 API \u0441 \u0434\u043e\u0441\u0442\u0443\u043f\u043e\u043c \u043a shell-\u043a\u043e\u043c\u0430\u043d\u0434\u0430\u043c. \u0421\u043f\u0435\u0446\u0438\u0444\u0438\u043a\u0430\u0446\u0438\u044f \u043f\u0440\u0435\u0434\u043b\u0430\u0433\u0430\u0435\u0442 OAuth 2.0, \u043d\u043e \u043d\u0430 \u043f\u0440\u0430\u043a\u0442\u0438\u043a\u0435 \u0431\u043e\u043b\u044c\u0448\u0438\u043d\u0441\u0442\u0432\u043e \u0441\u0435\u0440\u0432\u0435\u0440\u043e\u0432 \u0437\u0430\u043f\u0443\u0441\u043a\u0430\u044e\u0442\u0441\u044f \u0431\u0435\u0437 \u0430\u0432\u0442\u043e\u0440\u0438\u0437\u0430\u0446\u0438\u0438 \u0432\u043e\u043e\u0431\u0449\u0435. \u0412\u0430\u043b\u0438\u0434\u0430\u0446\u0438\u044f \u043f\u0430\u0440\u0430\u043c\u0435\u0442\u0440\u043e\u0432 \u2014 \u043d\u0430 \u0441\u043e\u0432\u0435\u0441\u0442\u0438 \u0440\u0430\u0437\u0440\u0430\u0431\u043e\u0442\u0447\u0438\u043a\u0430. \u0410 \u0433\u043b\u0430\u0432\u043d\u043e\u0435: MCP-\u0441\u0435\u0440\u0432\u0435\u0440 \u043c\u043e\u0436\u043d\u043e \u0432\u044b\u0437\u0432\u0430\u0442\u044c \u043d\u0430\u043f\u0440\u044f\u043c\u0443\u044e, \u043c\u0438\u043d\u0443\u044f LLM. \u041a\u0442\u043e \u0434\u043e\u0431\u0440\u0430\u043b\u0441\u044f \u0434\u043e \u044d\u043d\u0434\u043f\u043e\u0438\u043d\u0442\u0430 \u2014 \u0448\u043b\u0451\u0442 JSON-RPC-\u0437\u0430\u043f\u0440\u043e\u0441\u044b \u043a \u0438\u043d\u0441\u0442\u0440\u0443\u043c\u0435\u043d\u0442\u0430\u043c \u0431\u0435\u0437 \u043a\u0430\u043a\u043e\u0433\u043e-\u043b\u0438\u0431\u043e \u043a\u043e\u043d\u0442\u0440\u043e\u043b\u044f.\n\n\u26a1 \u0421\u0432\u0435\u0436\u0438\u0439 \u043f\u0440\u0438\u043c\u0435\u0440 \u2014 \u0442\u0440\u0438 CVE \u0432 \u043e\u0444\u0438\u0446\u0438\u0430\u043b\u044c\u043d\u043e\u043c mcp-server-git. \u041e\u0434\u043d\u0430 \u0438\u0437 \u043d\u0438\u0445 (CVE-2025-68143) \u043f\u043e\u0437\u0432\u043e\u043b\u044f\u043b\u0430 \u0447\u0435\u0440\u0435\u0437 \u0438\u043d\u0441\u0442\u0440\u0443\u043c\u0435\u043d\u0442 git_init \u043f\u0440\u0435\u0432\u0440\u0430\u0442\u0438\u0442\u044c \u043b\u044e\u0431\u0443\u044e \u0434\u0438\u0440\u0435\u043a\u0442\u043e\u0440\u0438\u044e \u0432 git-\u0440\u0435\u043f\u043e\u0437\u0438\u0442\u043e\u0440\u0438\u0439, \u0430 \u0437\u0430\u0442\u0435\u043c \u0447\u0438\u0442\u0430\u0442\u044c \u0438\u0437 \u043d\u0435\u0451 \u0444\u0430\u0439\u043b\u044b \u0447\u0435\u0440\u0435\u0437 git show. \u0420\u0435\u0448\u0435\u043d\u0438\u0435 \u043e\u0442 \u043c\u0435\u0439\u043d\u0442\u0435\u0439\u043d\u0435\u0440\u043e\u0432? \u041f\u043e\u043b\u043d\u043e\u0441\u0442\u044c\u044e \u0443\u0434\u0430\u043b\u0438\u043b\u0438 \u0438\u043d\u0441\u0442\u0440\u0443\u043c\u0435\u043d\u0442 \u0438\u0437 \u043a\u043e\u0434\u043e\u0432\u043e\u0439 \u0431\u0430\u0437\u044b. \u0414\u0440\u0443\u0433\u0430\u044f (CVE-2025-68144) \u2014 argument injection: \u043f\u0430\u0440\u0430\u043c\u0435\u0442\u0440\u044b git_diff \u0438 git_checkout \u043f\u0435\u0440\u0435\u0434\u0430\u0432\u0430\u043b\u0438\u0441\u044c \u0432 CLI \u0431\u0435\u0437 \u0441\u0430\u043d\u0438\u0442\u0438\u0437\u0430\u0446\u0438\u0438. \u0417\u043d\u0430\u0447\u0435\u043d\u0438\u0435 \u0432\u0440\u043e\u0434\u0435 --output=/etc/passwd \u0438\u043d\u0442\u0435\u0440\u043f\u0440\u0435\u0442\u0438\u0440\u043e\u0432\u0430\u043b\u043e\u0441\u044c \u043a\u0430\u043a \u043e\u043f\u0446\u0438\u044f \u043a\u043e\u043c\u0430\u043d\u0434\u043d\u043e\u0439 \u0441\u0442\u0440\u043e\u043a\u0438.\n\n\u041a\u0430\u0436\u0434\u0430\u044f \u0443\u044f\u0437\u0432\u0438\u043c\u043e\u0441\u0442\u044c \u043f\u043e \u043e\u0442\u0434\u0435\u043b\u044c\u043d\u043e\u0441\u0442\u0438 \u2014 CVSS 6.3\u20136.5, \u0441\u0440\u0435\u0434\u043d\u0438\u0439 \u0443\u0440\u043e\u0432\u0435\u043d\u044c. \u041d\u043e \u0432 \u0446\u0435\u043f\u043e\u0447\u043a\u0435 \u0441 prompt injection \u0438\u043c\u043f\u0430\u043a\u0442 \u0432\u043e\u0437\u0440\u0430\u0441\u0442\u0430\u0435\u0442 \u043a\u0440\u0430\u0442\u043d\u043e: \u0432\u0440\u0435\u0434\u043e\u043d\u043e\u0441\u043d\u0430\u044f \u0438\u043d\u0441\u0442\u0440\u0443\u043a\u0446\u0438\u044f \u0432 README \u0440\u0435\u043f\u043e\u0437\u0438\u0442\u043e\u0440\u0438\u044f \u0437\u0430\u0441\u0442\u0430\u0432\u043b\u044f\u0435\u0442 LLM \u0432\u044b\u0437\u0432\u0430\u0442\u044c \u0443\u044f\u0437\u0432\u0438\u043c\u044b\u0439 \u0438\u043d\u0441\u0442\u0440\u0443\u043c\u0435\u043d\u0442, \u0430 \u0440\u0430\u0437\u0440\u0430\u0431\u043e\u0442\u0447\u0438\u043a \u0436\u043c\u0451\u0442 \u00ab\u0420\u0430\u0437\u0440\u0435\u0448\u0438\u0442\u044c\u00bb \u043d\u0430 \u0430\u0432\u0442\u043e\u043f\u0438\u043b\u043e\u0442\u0435 \u2014 \u0434\u0435\u0441\u044f\u0442\u043a\u0438 \u0440\u0430\u0437 \u0432 \u0434\u0435\u043d\u044c.\n\n\ud83c\udfaf \u0421 \u0442\u043e\u0447\u043a\u0438 \u0437\u0440\u0435\u043d\u0438\u044f kill chain MCP-\u0441\u0435\u0440\u0432\u0435\u0440\u044b \u0437\u0430\u043a\u0440\u044b\u0432\u0430\u044e\u0442 \u0441\u0440\u0430\u0437\u0443 \u043d\u0435\u0441\u043a\u043e\u043b\u044c\u043a\u043e \u044d\u0442\u0430\u043f\u043e\u0432:\n\n\u2022 Initial Access \u2014 \u0443\u0434\u0430\u043b\u0451\u043d\u043d\u044b\u0439 \u0441\u0435\u0440\u0432\u0435\u0440 \u043d\u0430 Streamable HTTP \u0431\u0435\u0437 \u0430\u0443\u0442\u0435\u043d\u0442\u0438\u0444\u0438\u043a\u0430\u0446\u0438\u0438\n\u2022 Execution \u2014 command injection \u0447\u0435\u0440\u0435\u0437 tool-\u043f\u0430\u0440\u0430\u043c\u0435\u0442\u0440\u044b\n\u2022 Credential Access \u2014 \u0447\u0442\u0435\u043d\u0438\u0435 .env, SSH-\u043a\u043b\u044e\u0447\u0435\u0439, API-\u0442\u043e\u043a\u0435\u043d\u043e\u0432\n\u2022 Collection \u2014 path traversal \u043a \u0438\u0441\u0445\u043e\u0434\u043d\u0438\u043a\u0430\u043c \u0438 \u043a\u043e\u043d\u0444\u0438\u0433\u0430\u043c CI/CD\n\n\u0421\u0430\u043c\u044b\u0439 \u0440\u0435\u0430\u043b\u0438\u0441\u0442\u0438\u0447\u043d\u044b\u0439 \u0441\u0446\u0435\u043d\u0430\u0440\u0438\u0439 \u2014 \u0432\u043d\u0443\u0442\u0440\u0435\u043d\u043d\u0438\u0439 \u043f\u0435\u043d\u0442\u0435\u0441\u0442 \u0438\u043b\u0438 red team \u0441 \u0434\u043e\u0441\u0442\u0443\u043f\u043e\u043c \u043a \u0441\u0435\u0433\u043c\u0435\u043d\u0442\u0443 \u0440\u0430\u0437\u0440\u0430\u0431\u043e\u0442\u043a\u0438. \u041c\u0430\u0448\u0438\u043d\u0430 \u0440\u0430\u0437\u0440\u0430\u0431\u043e\u0442\u0447\u0438\u043a\u0430 \u0441 MCP-\u0441\u0435\u0440\u0432\u0435\u0440\u043e\u043c \u2014 \u044d\u0442\u043e \u043e\u0434\u043d\u043e\u0432\u0440\u0435\u043c\u0435\u043d\u043d\u043e \u0442\u043e\u0447\u043a\u0430 \u0432\u0445\u043e\u0434\u0430, \u0438\u0441\u0442\u043e\u0447\u043d\u0438\u043a \u043a\u0440\u0435\u0434\u0435\u043d\u0448\u0430\u043b\u043e\u0432 \u0438 \u043f\u043b\u0430\u0446\u0434\u0430\u0440\u043c \u0434\u043b\u044f lateral movement.\n\n\u041f\u043e\u043b\u043d\u044b\u0439 \u0440\u0430\u0437\u0431\u043e\u0440 \u0441 \u043a\u043e\u043d\u043a\u0440\u0435\u0442\u043d\u044b\u043c\u0438 PoC, \u0446\u0435\u043f\u043e\u0447\u043a\u0430\u043c\u0438 \u0430\u0442\u0430\u043a \u0438 \u0440\u0435\u043a\u043e\u043c\u0435\u043d\u0434\u0430\u0446\u0438\u044f\u043c\u0438 \u043f\u043e \u0437\u0430\u0449\u0438\u0442\u0435 \u2014 \u0432 \u0441\u0442\u0430\u0442\u044c\u0435 \u043d\u0430 \u0444\u043e\u0440\u0443\u043c\u0435.\n\nhttps://codeby.net/threads/uyazvimosti-mcp-serverov-rce-ssrf-i-in-yektsii-cherez-odin-post-zapros.93746/", "creation_timestamp": "2026-06-04T15:02:10.000000Z"} 2026-06-04T15:02:10+00:00