Cloud CLI (также известный как пользовательский интерфейс Claude Code) — это настольный и мобильный пользовательский интерфейс для Claude Code, Cursor CLI, Codex и Gemini-CLI. До версии 1.24.0 несколько конечных точек API, связанных с Git, использовали execAsync() со строковой интерполяцией параметров, контролируемых пользователем (файл, ветка, сообщение, фиксация), что позволяло злоумышленникам, прошедшим проверку подлинности, выполнять произвольные команды ОС. Эта уязвимость исправлена в версии 1.24.0.
Показать оригинальное описание (EN)
Cloud CLI (aka Claude Code UI) is a desktop and mobile UI for Claude Code, Cursor CLI, Codex, and Gemini-CLI. Prior to 1.24.0, multiple Git-related API endpoints use execAsync() with string interpolation of user-controlled parameters (file, branch, message, commit), allowing authenticated attackers to execute arbitrary OS commands. This vulnerability is fixed in 1.24.0.
Характеристики атаки
Последствия
Строка CVSS v3.1
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Cloudcli Cloud_Cli
cpe:2.3:a:cloudcli:cloud_cli:*:*:*:*:*:*:*:*
|
— |
1.24.0
|