CVE-2025-59536
Claude Code's startup trust dialog could lead to Command Execution attack
Em resumo
O Claude Code nas versões anteriores à 1.0.111 podia executar código malicioso de um projeto antes de pedir permissão ao usuário. Um atacante poderia enganar usuários para abrir uma pasta não confiável, permitindo execução não autorizada de código no computador.
Detalhe técnico
Vulnerabilidade CWE-94 de Injeção de Código no diálogo de confiança da inicialização do Claude Code permite execução arbitrária de código quando o usuário inicia a aplicação em um diretório não confiável. A falha ignora o mecanismo de aviso de confiança, executando código incorporado do projeto antes do consentimento do usuário. Corrigida na versão 1.0.111.
Resumo gerado e traduzido por IA a partir da descrição oficial.
Claude Code is an agentic coding tool. Versions before 1.0.111 were vulnerable to Code Injection due to a bug in the startup trust dialog implementation. Claude Code could be tricked to execute code contained in a project before the user accepted the startup trust dialog. Exploiting this requires a user to start Claude Code in an untrusted directory. Users on standard Claude Code auto-update will have received this fix automatically. Users performing manual updates are advised to update to the latest version. This issue is fixed in version 1.0.111.
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:P/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N
Produtos afetados
anthropics · claude-codeQuer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →