CVE-2025-58764
Claude Code rg command had Command Injection that allowed bypass of user approval prompt for command execution
En resumen
Claude Code versiones anteriores a 1.0.105 tenían una falla que permitía a atacantes eludir el prompt de confirmación de seguridad y ejecutar comandos sin aprobación del usuario. Esto es peligroso porque código malicioso podría funcionar secretamente en su sistema.
Detalle técnico
Un error en el análisis de comandos de Claude Code (CWE-94: Inyección de Código) permitía que atacantes crearan entrada formateada especialmente para eludir el mecanismo de confirmación, habilitando la ejecución de comandos arbitrarios. La explotación requiere inyectar contenido no confiable en el contexto de Claude Code; la vulnerabilidad afecta versiones anteriores a 1.0.105.
Resumen generado y traducido por IA a partir de la descripción oficial.
Claude Code is an agentic coding tool. Due to an error in command parsing, versions prior to 1.0.105 were vulnerable to a bypass of the Claude Code confirmation prompt to trigger execution of an untrusted command. Reliably exploiting this requires the ability to add untrusted content into a Claude Code context window. Users on standard Claude Code auto-update will have received this fix automatically. Users performing manual updates are advised to update to version 1.0.105 or the latest version.
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:P/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N
Productos afectados
anthropics · claude-code¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →