CVE-2025-52882 Эксплойт и детали уязвимости

Claude Code — это агентный инструмент кодирования. Расширения Claude Code в VSCode и его форках (например, Cursor, Windsurf и VSCodium) и IDE JetBrains (например, IntelliJ, Pycharm и Android Studio) уязвимы для несанкционированных подключений к веб-сокетам со стороны злоумышленника при посещении контролируемых злоумышленниками веб-страниц. Код Claude для расширений VSCode IDE версий с 0.2.116 по 1.0.23 уязвим. Для плагинов IDE Jetbrains уязвимы версии Claude Code [бета] с 0.1.1 по 0.1.8. В VSCode (и его ответвлениях) эксплуатация позволит злоумышленнику читать произвольные файлы, просматривать список файлов, открытых в IDE, получать события выбора и диагностики из IDE или выполнять код в ограниченных ситуациях, когда у пользователя есть открытый Jupyter Notebook и он принимает вредоносное приглашение. В IDE JetBrains злоумышленник может получить события выбора, список открытых файлов и список синтаксических ошибок. Компания Claude выпустила исправление для этой проблемы 13 июня 2025 года. Хотя код Claude автоматически обновляется при запуске пользователем и автоматически обновляет расширения, пользователям следует предпринять следующие шаги, хотя точные шаги зависят от интегрированной среды разработки (IDE). Для VSCode, Cursor, Windsurf, VSCodium и других форков VSCode проверьте расширение Claude Code для VSCode. Откройте список расширений (Просмотр->Расширения), найдите Claude Code для VSCode среди установленных расширений, обновите или удалите любую версию до 1.0.24 и перезапустите IDE. Для IDE JetBrains, включая IntelliJ, PyCharm и Android Studio, проверьте плагин Claude Code [бета]. Откройте список плагинов, найдите Claude Code [Beta] среди установленных расширений, обновите или удалите любую версию до 0.1.9 и перезапустите IDE.

Показать оригинальное описание (английский)

Claude Code is an agentic coding tool. Claude Code extensions in VSCode and forks (e.g., Cursor, Windsurf, and VSCodium) and JetBrains IDEs (e.g., IntelliJ, Pycharm, and Android Studio) are vulnerable to unauthorized websocket connections from an attacker when visiting attacker-controlled webpages. Claude Code for VSCode IDE extensions versions 0.2.116 through 1.0.23 are vulnerable. For Jetbrains IDE plugins, Claude Code [beta] versions 0.1.1 through 0.1.8 are vulnerable. In VSCode (and forks), exploitation would allow an attacker to read arbitrary files, see the list of files open in the IDE, get selection and diagnostics events from the IDE, or execute code in limited situations where a user has an open Jupyter Notebook and accepts a malicious prompt. In JetBrains IDEs, an attacker could get selection events, a list of open files, and a list of syntax errors. Claude released a patch for this issue on June 13th, 2025. Although Claude Code auto-updates when a user launch it and auto-updates the extensions, users should take the following steps, though the exact steps depend on one's integrated development environment (IDE). For VSCode, Cursor, Windsurf, VSCodium, and other VSCode forks, check the extension Claude Code for VSCode. Open the list of Extensions (View->Extensions), look for Claude Code for VSCode among installed extensions, update or uninstall any version prior to 1.0.24, and restart the IDE. For JetBrains IDEs including IntelliJ, PyCharm, and Android Studio, check the plugin Claude Code [Beta]. Open the Plugins list, look for Claude Code [Beta] among installed extensions, update or uninstall any version prior to 0.1.9, and restart the IDE.

Меню

CVE-2025-52882

Матрица атаки

СТРОКА CVSS ВЕКТОРА

Тип уязвимости (CWE)

Источники и патчи

CVE Details

Последние новости