CVE-2025-59536
Claude Code's startup trust dialog could lead to Command Execution attack
En resumen
Claude Code en versiones anteriores a 1.0.111 podía ejecutar código malicioso de un proyecto antes de solicitar permiso al usuario. Un atacante podría engañar a los usuarios para abrir una carpeta no confiable, permitiendo la ejecución no autorizada de código en su computadora.
Detalle técnico
Vulnerabilidad CWE-94 de Inyección de Código en el cuadro de diálogo de confianza de inicio de Claude Code permite la ejecución arbitraria de código cuando el usuario inicia la aplicación en un directorio no confiable. La falla elude el mecanismo de solicitud de confianza, ejecutando código incrustado del proyecto antes del consentimiento del usuario. Corregida en la versión 1.0.111.
Resumen generado y traducido por IA a partir de la descripción oficial.
Claude Code is an agentic coding tool. Versions before 1.0.111 were vulnerable to Code Injection due to a bug in the startup trust dialog implementation. Claude Code could be tricked to execute code contained in a project before the user accepted the startup trust dialog. Exploiting this requires a user to start Claude Code in an untrusted directory. Users on standard Claude Code auto-update will have received this fix automatically. Users performing manual updates are advised to update to the latest version. This issue is fixed in version 1.0.111.
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:P/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N
Productos afectados
anthropics · claude-code¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →