← volver
CVE-2026-24887

Claude Code has a Command Injection in find Command Bypasses User Approval Prompt

CVSS 7.7 HIGHEPSS 0.6%CWE-78CWE-94
En resumen

Claude Code tenía una falla que permitía eludir la confirmación de seguridad usando comandos maliciosos disfrazados en el comando find, permitiendo que código no confiable se ejecutara sin aprobación del usuario. Esto es importante porque debilita las protecciones diseñadas para prevenir la ejecución accidental de operaciones dañinas.

Detalle técnico

Una vulnerabilidad de análisis de comandos en Claude Code anterior a la versión 2.0.72 permitía inyección de comandos a través del comando find, eludiendo el prompt de confirmación (CWE-78, CWE-94). El vector de ataque requería inyectar contenido no confiable en la ventana de contexto de Claude Code; la explotación exitosa resultaba en ejecución arbitraria de comandos sin consentimiento del usuario.

Resumen generado y traducido por IA a partir de la descripción oficial.
Claude Code is an agentic coding tool. Prior to version 2.0.72, due to an error in command parsing, it was possible to bypass the Claude Code confirmation prompt to trigger execution of untrusted commands through the find command. Reliably exploiting this required the ability to add untrusted content into a Claude Code context window. This issue has been patched in version 2.0.72.
CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:P/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N
Productos afectados
anthropics · claude-code

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →
Referencias
https://github.com/anthropics/claude-code/security/advisories/GHSA-qgqw-h4xq-7w8w