CVE-2025-64755
@anthropic-ai/claude-code has Sed Command Validation Bypass that Allows Arbitrary File Writes
Em resumo
O Claude Code tinha um erro ao validar comandos sed, permitindo que atacantes contornassem as proteções de segurança e escrevessem arquivos em qualquer lugar do sistema. Isso poderia permitir que código malicioso modificasse ou criasse arquivos, comprometendo potencialmente todo o sistema.
Detalhe técnico
Um erro na análise de comandos sed no Claude Code, em versões anteriores à 2.0.31, permitia contornar a validação de arquivos somente leitura, possibilitando escrita arbitrária de arquivos via comandos sed manipulados. Um atacante com controle sobre a entrada do Claude Code poderia explorar este vetor de injeção de comando do SO para modificar arquivos do sistema ou injetar código malicioso.
Resumo gerado e traduzido por IA a partir da descrição oficial.
Claude Code is an agentic coding tool. Prior to version 2.0.31, due to an error in sed command parsing, it was possible to bypass the Claude Code read-only validation and write to arbitrary files on the host system. This issue has been patched in version 2.0.31.
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:P/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N
Produtos afetados
anthropics · claude-codeQuer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →