CVE-2025-54795
Claude Code echo command allowed bypass of user approval prompt for command execution
En resumen
Claude Code tiene un defecto que permite ejecutar comandos sin autorización del usuario. Un atacante necesita insertar contenido malicioso en el chat, y la herramienta ejecuta el comando sin pedir permiso.
Detalle técnico
Vulnerabilidad CWE-78 de inyección de comandos en Claude Code versiones <1.0.20 permite eludir prompts de confirmación del usuario mediante un error en el parsing de comandos. El vector de ataque requiere inyectar contenido no confiable en la ventana de contexto; el impacto es ejecución arbitraria de comandos con privilegios del usuario sin aprobación explícita.
Resumen generado y traducido por IA a partir de la descripción oficial.
Claude Code is an agentic coding tool. In versions below 1.0.20, an error in command parsing makes it possible to bypass the Claude Code confirmation prompt to trigger execution of an untrusted command. Reliably exploiting this requires the ability to add untrusted content into a Claude Code context window. This is fixed in version 1.0.20.
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:P/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N
Productos afectados
anthropics · claude-code¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →