anonhaven

CVE-2026-24887

HIGH CVSS 4.0: 7,7 EPSS 0.04%
Обновлено 4 февраля 2026
Claude
Параметр Значение
CVSS 7,7 (HIGH)
Устранено в версии 2.0.72
Тип уязвимости CWE-94 (Code Injection (Внедрение кода)), CWE-78 (OS Command Injection (Внедрение команд ОС))
Поставщик Claude
Публичный эксплойт Нет

Claude Code — это агентный инструмент кодирования. До версии 2.0.72 из-за ошибки в синтаксическом анализе команд можно было обойти запрос подтверждения кода Клода, чтобы инициировать выполнение ненадежных команд через команду find. Для надежного использования этого требовалась возможность добавлять ненадежный контент в контекстное окно Claude Code.

Эта проблема исправлена ​​в версии 2.0.72.

Показать оригинальное описание (EN)

Claude Code is an agentic coding tool. Prior to version 2.0.72, due to an error in command parsing, it was possible to bypass the Claude Code confirmation prompt to trigger execution of untrusted commands through the find command. Reliably exploiting this required the ability to add untrusted content into a Claude Code context window. This issue has been patched in version 2.0.72.

Характеристики атаки

Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Условия для атаки
Требуются
Нужны дополнительные условия
Нужны права
Не требуются
Права не нужны
Участие пользователя
Пассивное
Минимальное взаимодействие

Последствия

Конфиденциальность
Высокое
Полная утечка данных
Целостность
Высокое
Полная модификация данных
Доступность
Высокое
Полный отказ в обслуживании

Строка CVSS v4.0

Тип уязвимости (CWE)

CWE-94 Code Injection (Внедрение кода)
CWE-78 OS Command Injection (Внедрение команд ОС)

Ссылки 1

https://github.com/anthropics/claude-code/security/advisories/GHSA-qgqw-h4xq-7w…
security-advisories@github.com
Share Post Share Share Share