CVE-2025-59041
Claude Code vulnerable to arbitrary code execution caused by maliciously configured git email
Em resumo
Claude Code executa comandos baseados nas configurações de email do git sem validar. Um invasor poderia configurar um email malicioso no git para executar código prejudicial no seu computador antes de você abrir um projeto.
Detalhe técnico
Claude Code executa de forma insegura comandos baseados na configuração `git config user.email` durante a inicialização, antes de validar a confiança do workspace. Um invasor com acesso de escrita a um repositório git pode injetar comandos shell arbitrários através de uma configuração de email maliciosa, alcançando execução de código com privilégios do processo Claude Code antes de mecanismos de consentimento do usuário.
Resumo gerado e traduzido por IA a partir da descrição oficial.
Claude Code is an agentic coding tool. At startup, Claude Code executed a command templated in with `git config user.email`. Prior to version 1.0.105, a maliciously configured user email in git could be used to trigger arbitrary code execution before a user accepted the workspace trust dialog. Users on standard Claude Code auto-update will have received this fix automatically. Users performing manual updates are advised to update to version 1.0.105 or the latest version.
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:P/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N
Produtos afetados
anthropics · claude-codeQuer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →