CVE-2025-64755

@anthropic-ai/claude-code has Sed Command Validation Bypass that Allows Arbitrary File Writes

CVSS 8.7 HIGHEPSS 0.4%CWE-78

En resumen

Claude Code tenía un defecto en cómo validaba comandos sed, permitiendo que atacantes eludieran las protecciones de seguridad y escribieran archivos en cualquier parte del sistema. Esto podría permitir que código malicioso modifique o cree archivos, comprometiendo potencialmente todo el sistema.

Detalle técnico

Un error en el análisis de comandos sed en Claude Code, en versiones anteriores a 2.0.31, permitía eludir la validación de archivos de solo lectura, habilitando escritura arbitraria de archivos mediante comandos sed manipulados. Un atacante con control sobre la entrada de Claude Code podría explotar este vector de inyección de comandos del SO para modificar archivos del sistema o inyectar código malicioso.

Resumen generado y traducido por IA a partir de la descripción oficial.

Claude Code is an agentic coding tool. Prior to version 2.0.31, due to an error in sed command parsing, it was possible to bypass the Claude Code read-only validation and write to arbitrary files on the host system. This issue has been patched in version 2.0.31.

CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:P/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N

Productos afectados

anthropics · claude-code

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →

Referencias

https://github.com/anthropics/claude-code/security/advisories/GHSA-7mv8-j34q-vp7q