Claude Code — это агентный инструмент кодирования. Версии до 1.0.111 были уязвимы для внедрения кода из-за ошибки в реализации диалога доверия при запуске. Клода Кода можно обманом заставить выполнить код, содержащийся в проекте, до того, как пользователь примет диалог доверия при запуске.
Чтобы воспользоваться этим, пользователю необходимо запустить Claude Code в ненадежном каталоге. Пользователи стандартного автоматического обновления Claude Code получат это исправление автоматически. Пользователям, выполняющим обновления вручную, рекомендуется выполнить обновление до последней версии.
Эта проблема исправлена в версии 1.0.111.
Показать оригинальное описание (EN)
Claude Code is an agentic coding tool. Versions before 1.0.111 were vulnerable to Code Injection due to a bug in the startup trust dialog implementation. Claude Code could be tricked to execute code contained in a project before the user accepted the startup trust dialog. Exploiting this requires a user to start Claude Code in an untrusted directory. Users on standard Claude Code auto-update will have received this fix automatically. Users performing manual updates are advised to update to the latest version. This issue is fixed in version 1.0.111.
Характеристики атаки
Последствия
Строка CVSS v4.0
Тип уязвимости (CWE)
Уязвимые продукты 1
Затронутые конфигурации ПО 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Anthropic Claude_Code
cpe:2.3:a:anthropic:claude_code:*:*:*:*:*:node.js:*:*
|
— |
1.0.111
|