CVE-2025-59829
Claude Code: Permission deny bypass is possible through symlink
En resumen
Claude Code podía eludir las restricciones de acceso a archivos mediante enlaces simbólicos (atajos). Si bloqueabas el acceso a un archivo, la herramienta aún podía leerlo a través de un atajo que apuntaba a ese archivo.
Detalle técnico
Falla CWE-61 (Validación Inadecuada de Resolución de Symlinks) en Claude Code versiones <1.0.120: el mecanismo de denegación de permisos no validaba adecuadamente los destinos de enlaces simbólicos, permitiendo eludir restricciones. La corrección requiere resolver y validar symlinks durante las verificaciones de permisos.
Resumen generado y traducido por IA a partir de la descripción oficial.
Claude Code is an agentic coding tool. Versions below 1.0.120 failed to account for symlinks when checking permission deny rules. If a user explicitly denied Claude Code access to a file and Claude Code had access to a symlink pointing to that file, it was possible for Claude Code to access the file. Users on standard Claude Code auto-update will have received this fix automatically. Users performing manual updates are advised to update to the latest version. This issue is fixed in version 1.0.120.
CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:P/VC:L/VI:L/VA:N/SC:N/SI:N/SA:N
Productos afectados
anthropics · claude-code¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →