CVE-2025-59041
Claude Code vulnerable to arbitrary code execution caused by maliciously configured git email
En resumen
Claude Code ejecuta comandos basados en la configuración de email de git sin validarlos. Un atacante podría configurar un email malicioso en git para ejecutar código dañino en tu computadora antes de que abras un proyecto.
Detalle técnico
Claude Code ejecuta de forma insegura comandos basados en la configuración `git config user.email` durante el inicio, antes de validar la confianza del workspace. Un atacante con acceso de escritura a un repositorio git puede inyectar comandos shell arbitrarios a través de una configuración de email maliciosa, logrando ejecución de código con los privilegios del proceso Claude Code antes de mecanismos de consentimiento del usuario.
Resumen generado y traducido por IA a partir de la descripción oficial.
Claude Code is an agentic coding tool. At startup, Claude Code executed a command templated in with `git config user.email`. Prior to version 1.0.105, a maliciously configured user email in git could be used to trigger arbitrary code execution before a user accepted the workspace trust dialog. Users on standard Claude Code auto-update will have received this fix automatically. Users performing manual updates are advised to update to version 1.0.105 or the latest version.
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:P/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N
Productos afectados
anthropics · claude-code¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →