Plataforma
nodejs
Componente
@anthropic-ai/claude-code
Corregido en
1.0.106
1.0.105
La vulnerabilidad CVE-2025-58764 es una falla de ejecución remota de código (RCE) descubierta en la biblioteca @anthropic-ai/claude-code para Node.js. Esta falla permite a un atacante eludir el proceso de confirmación de comandos, lo que resulta en la ejecución de comandos no autorizados. Las versiones afectadas son aquellas anteriores a 1.0.105; los usuarios con actualizaciones automáticas ya han recibido la corrección.
Un atacante que explote esta vulnerabilidad podría ejecutar comandos arbitrarios en el sistema donde se ejecuta @anthropic-ai/claude-code. Esto podría resultar en la toma de control completa del sistema, robo de datos confidenciales o la instalación de malware. La explotación requiere la capacidad de inyectar contenido no confiable en el contexto de Claude Code, lo que podría ocurrir si la aplicación no valida adecuadamente la entrada del usuario. El impacto potencial es significativo, especialmente en entornos donde Claude Code se utiliza para tareas sensibles o con acceso a datos críticos.
La vulnerabilidad fue reportada por el NVIDIA AI Red Team. No se han identificado campañas de explotación activas en este momento, pero la disponibilidad de la vulnerabilidad y su potencial de RCE la convierten en un objetivo atractivo. La vulnerabilidad ha sido publicada en el NVD el 2025-09-10. La probabilidad de explotación se considera media debido a la necesidad de inyectar contenido no confiable en el contexto de Claude Code.
Organizations and developers utilizing the @anthropic-ai/claude-code package in their Node.js applications are at risk. Specifically, those who have not implemented automatic updates or are using older versions of the package are particularly vulnerable. Applications that rely on user-supplied input or external data sources for Claude Code context are at higher risk.
• nodejs: Monitor Node.js process logs for unexpected command executions.
journalctl -u node -f | grep -i "command execution"• nodejs: Check the installed version of @anthropic-ai/claude-code using npm.
npm list @anthropic-ai/claude-code• generic web: Inspect the application's input validation routines to identify potential vulnerabilities where untrusted content could be injected into the Claude Code context window.
disclosure
Estado del Exploit
EPSS
0.12% (31% percentil)
CISA SSVC
La mitigación principal para CVE-2025-58764 es actualizar la biblioteca @anthropic-ai/claude-code a la versión 1.0.105 o superior. Si la actualización inmediata no es posible debido a problemas de compatibilidad, se recomienda revisar cuidadosamente la entrada del usuario y aplicar una validación estricta para evitar la inyección de comandos no autorizados. Implementar una capa de seguridad adicional, como un firewall de aplicaciones web (WAF), puede ayudar a detectar y bloquear intentos de explotación. Verifique la actualización ejecutando npm update @anthropic-ai/claude-code y confirmando la versión instalada con npm list @anthropic-ai/claude-code.
Actualice Claude Code a la versión 1.0.105 o superior. Esta actualización corrige una vulnerabilidad de inyección de comandos que permite la ejecución de comandos no confiables sin la aprobación del usuario. Si está utilizando la actualización automática estándar de Claude Code, ya debería haber recibido esta corrección.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-58764 is a HIGH severity vulnerability in the @anthropic-ai/claude-code Node.js package that allows attackers to bypass the confirmation prompt and execute untrusted commands.
You are affected if you are using @anthropic-ai/claude-code versions prior to 1.0.105. Check your installed version using npm list @anthropic-ai/claude-code.
Update to version 1.0.105 or later of the @anthropic-ai/claude-code package using npm install @anthropic-ai/claude-code@latest.
As of the public disclosure date, there is no indication of active exploitation in the wild.
Refer to the official @anthropic-ai advisory for details and updates: [https://www.anthropic.com/security](https://www.anthropic.com/security)
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.