CVE-2026-33068

Claude Code has a Workspace Trust Dialog Bypass via Repo-Controlled Settings File

CVSS 7.7 HIGHEPSS 0.3%CWE-807

En resumen

Claude Code omitía su diálogo de seguridad al abrir repositorios no confiables que contenían un archivo de configuración malicioso. Esto permitía que atacantes ejecutaran código en la computadora del usuario sin que viera ninguna advertencia.

Detalle técnico

CWE-807 (Dependencia de Entradas No Confiables en una Decisión de Seguridad): Claude Code versiones <2.1.53 resolvía permisos desde el archivo .claude/settings.json controlado por el repositorio antes de evaluar la confianza del workspace, permitiendo que un repositorio malicioso estableciera permissions.defaultMode en bypassPermissions y suprimiera el diálogo de confirmación. El ataque requiere interacción del usuario (abrir el repositorio) pero elude el control de seguridad diseñado para exigir consentimiento informado.

Resumen generado y traducido por IA a partir de la descripción oficial.

Claude Code is an agentic coding tool. Versions prior to 2.1.53 resolved the permission mode from settings files, including the repo-controlled .claude/settings.json, before determining whether to display the workspace trust confirmation dialog. A malicious repository could set permissions.defaultMode to bypassPermissions in its committed .claude/settings.json, causing the trust dialog to be silently skipped on first open. This allowed a user to be placed into a permissive mode without seeing the trust confirmation prompt, making it easier for an attacker-controlled repository to gain tool execution without explicit user consent. This issue has been patched in version 2.1.53.

CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:P/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N

Productos afectados

anthropics · claude-code

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →

Referencias

https://github.com/anthropics/claude-code/security/advisories/GHSA-mmgp-wc2j-qcv7