Claude Code — это агентный инструмент кодирования. До версии 1.0.39 при работе на машине с Yarn 3.0 или выше Claude Code можно было обманом выполнить код, содержащийся в проекте, с помощью плагинов Yarn до того, как пользователь принял диалоговое окно доверия при запуске. Чтобы воспользоваться этим, пользователю потребовалось бы запустить Claude Code в ненадежном каталоге и использовать Yarn 3.0 или выше.
Эта проблема исправлена в версии 1.0.39.
Показать оригинальное описание (EN)
Claude Code is an agentic coding tool. Prior to version 1.0.39, when running on a machine with Yarn 3.0 or above, Claude Code could have been tricked to execute code contained in a project via yarn plugins before the user accepted the startup trust dialog. Exploiting this would have required a user to start Claude Code in an untrusted directory and to be using Yarn 3.0 or above. This issue has been patched in version 1.0.39.
Характеристики атаки
Последствия
Строка CVSS v3.1
Тип уязвимости (CWE)
Уязвимые продукты 1
Затронутые конфигурации ПО 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Anthropic Claude_Code
cpe:2.3:a:anthropic:claude_code:*:*:*:*:*:node.js:*:*
|
— |
1.0.39
|