CVE-2025-66032

Claude Code Command Validation Bypass Allows Arbitrary Code Execution

CVSS 8.7 HIGHEPSS 0.6%CWE-77

En resumen

Claude Code anterior a la versión 1.0.93 tiene una falla que permite a atacantes ejecutar código arbitrario al eludir controles de seguridad mediante comandos shell especialmente diseñados. Esto importa porque podría permitir que alguien ejecute comandos peligrosos en un sistema si logra inyectar contenido malicioso en Claude Code.

Detalle técnico

La vulnerabilidad existe en la lógica de análisis de comandos que falla en validar adecuadamente metacaracteres de shell (específicamente $IFS y banderas CLI cortas), permitiendo que atacantes eludan restricciones de solo lectura mediante inyección de comandos. La explotación requiere la capacidad de inyectar contenido no confiable en el contexto de Claude Code; la explotación exitosa resulta en ejecución de código arbitrario con los privilegios del proceso en ejecución.

Resumen generado y traducido por IA a partir de la descripción oficial.

Claude Code is an agentic coding tool. Prior to 1.0.93, Due to errors in parsing shell commands related to $IFS and short CLI flags, it was possible to bypass the Claude Code read-only validation and trigger arbitrary code execution. Reliably exploiting this requires the ability to add untrusted content into a Claude Code context window. This vulnerability is fixed in 1.0.93.

CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:P/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N

Productos afectados

anthropics · claude-code

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →

Referencias

https://github.com/anthropics/claude-code/security/advisories/GHSA-xq4m-mc3c-vvg3