CVE-2026-24052

Claude Code has a Domain Validation Bypass which Allows Automatic Requests to Attacker-Controlled Domains

CVSS 7.1 HIGHEPSS 0.3%CWE-601

Em resumo

Claude Code tinha uma falha na validação de domínios confiáveis que apenas verificava se a URL começava com um domínio seguro, sem conferir onde o domínio realmente terminava. Um atacante poderia registrar um domínio falso como 'modelcontextprotocol.io.example.com' que passaria pela verificação, enganando a ferramenta para enviar requisições automaticamente para seu servidor e roubar dados.

Detalhe técnico

A vulnerabilidade está no mecanismo de validação de domínios confiáveis para requisições WebFetch, que usa comparação startsWith() em vez de validação adequada de limites de domínio. Um atacante pode registrar um subdomínio ou domínio pai que começa com um nome de domínio legítimo confiável para contornar a validação e disparar requisições automáticas para infraestrutura controlada pelo atacante, potencialmente exfiltrando dados sensíveis sem interação do usuário. O problema foi corrigido na versão 1.0.111.

Resumo gerado e traduzido por IA a partir da descrição oficial.

Claude Code is an agentic coding tool. Prior to version 1.0.111, Claude Code contained insufficient URL validation in its trusted domain verification mechanism for WebFetch requests. The application used a startsWith() function to validate trusted domains (e.g., docs.python.org, modelcontextprotocol.io), this could have enabled attackers to register domains like modelcontextprotocol.io.example.com that would pass validation. This could enable automatic requests to attacker-controlled domains without user consent, potentially leading to data exfiltration. This issue has been patched in version 1.0.111.

CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:P/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N

Produtos afetados

anthropics · claude-code

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →

Referências

https://github.com/anthropics/claude-code/security/advisories/GHSA-vhw5-3g5m-8ggf