CVE-2026-24887

Claude Code has a Command Injection in find Command Bypasses User Approval Prompt

CVSS 7.7 HIGHEPSS 0.6%CWE-78 CWE-94

Em resumo

O Claude Code tinha uma falha que permitia contornar a confirmação de segurança usando comandos maliciosos disfarçados no comando find, fazendo com que código não confiável fosse executado sem aprovação do usuário. Isso é importante porque enfraquece as proteções projetadas para evitar execução acidental de operações prejudiciais.

Detalhe técnico

Uma vulnerabilidade de parsing de comandos no Claude Code anterior à versão 2.0.72 permitia injeção de comandos através do comando find, contornando o prompt de confirmação (CWE-78, CWE-94). O vetor de ataque exigia injeção de conteúdo não confiável na janela de contexto do Claude Code; a exploração bem-sucedida resultava em execução de comandos arbitrários sem consentimento do usuário.

Resumo gerado e traduzido por IA a partir da descrição oficial.

Claude Code is an agentic coding tool. Prior to version 2.0.72, due to an error in command parsing, it was possible to bypass the Claude Code confirmation prompt to trigger execution of untrusted commands through the find command. Reliably exploiting this required the ability to add untrusted content into a Claude Code context window. This issue has been patched in version 2.0.72.

CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:P/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N

Produtos afetados

anthropics · claude-code

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →

Referências

https://github.com/anthropics/claude-code/security/advisories/GHSA-qgqw-h4xq-7w8w