Vulnerabilidad en @cyanheads/git-mcp-server (CVE-2025-53107)

@cyanheads/git-mcp-server es un servidor MCP diseñado para interactuar con repositorios Git. Antes de la versión 2.1.5, existía una vulnerabilidad de inyección de comandos causada por el uso no autorizado de parámetros de entrada en una llamada a child_process.exec, lo que permitía a un atacante inyectar comandos arbitrarios del sistema. Una explotación exitosa puede provocar la ejecución remota de código con los privilegios del proceso del servidor. El servidor construye y ejecuta comandos de shell utilizando entradas de usuario no validadas directamente dentro de las cadenas de la línea de comandos. Esto introduce la posibilidad de inyección de metacaracteres de shell (|, >, &&, etc.). Se puede indicar a un cliente MCP que ejecute acciones adicionales, por ejemplo, mediante la inyección indirecta de prompts cuando se le solicita que lea los registros de Git. Este problema se ha corregido en la versión 2.1.5.