Plataforma
nodejs
Componente
@anthropic-ai/claude-code
Corregido en
0.2.112
0.2.111
La vulnerabilidad CVE-2025-54794 es un fallo de Path Traversal descubierto en la librería @anthropic-ai/claude-code. Este fallo permite a un atacante acceder a archivos fuera del directorio de trabajo actual (CWD) mediante la manipulación de rutas. Afecta a versiones anteriores a 0.2.111, aunque las versiones anteriores a 1.0.24 han sido forzadas a actualizarse. La solución es actualizar a la versión 0.2.111 o superior.
Un atacante que explote esta vulnerabilidad podría leer archivos confidenciales ubicados fuera del directorio esperado, comprometiendo potencialmente información sensible como claves API, contraseñas u otros datos críticos. El ataque requiere la capacidad de crear un directorio con un prefijo similar al CWD y la posibilidad de inyectar contenido no confiable en el contexto de Claude Code. La severidad del impacto depende de los permisos del usuario que ejecuta el código y de la sensibilidad de los archivos accesibles.
Esta vulnerabilidad fue reportada y parcheada en agosto de 2025. No se ha identificado actividad de explotación activa en campañas conocidas. No se encuentra en el KEV de CISA. La vulnerabilidad se basa en una falla en la validación de rutas, similar a otros fallos de Path Traversal, pero requiere condiciones específicas para su explotación (control sobre el contexto de Claude Code).
Developers and organizations utilizing the @anthropic-ai/claude-code package in their Node.js applications are at risk. Specifically, those using older, unmanaged versions of the package or those who have not implemented robust input validation are particularly vulnerable.
• nodejs / server:
npm list @anthropic-ai/claude-code• nodejs / server:
npm audit @anthropic-ai/claude-code• nodejs / server: Check for directories with predictable names near the application's working directory. Examine application logs for unusual file access attempts.
disclosure
Estado del Exploit
EPSS
0.05% (14% percentil)
CISA SSVC
La mitigación principal para CVE-2025-54794 es actualizar la librería @anthropic-ai/claude-code a la versión 0.2.111 o superior. Las versiones anteriores a 1.0.24 ya han sido forzadas a actualizarse automáticamente. Si la actualización causa problemas de compatibilidad, se recomienda revisar la documentación de la librería para identificar posibles workarounds o configuraciones alternativas. No existen reglas WAF o proxies específicas para esta vulnerabilidad, ya que la protección se basa en la validación de rutas dentro de la librería.
Actualice Claude Code a la versión 0.2.111 o superior. Esta versión corrige la vulnerabilidad de omisión de restricción de ruta. La actualización evitará el acceso no autorizado a archivos fuera del directorio de trabajo actual.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-54794 is a HIGH severity vulnerability in @anthropic-ai/claude-code allowing unauthorized file access due to a flawed path validation mechanism. Versions prior to 0.2.111 are affected.
You are affected if you are using @anthropic-ai/claude-code versions prior to 0.2.111. Users on standard auto-update received the fix. Deprecated versions have been forced to update.
Upgrade to version 0.2.111 or later of @anthropic-ai/claude-code. Implement strict input validation as a temporary workaround if upgrading is not immediately possible.
There is currently no indication of active exploitation of CVE-2025-54794.
Refer to the official @anthropic-ai documentation and release notes for details regarding this vulnerability and the fix.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.