Plataforma
nodejs
Componente
@anthropic-ai/claude-code
Corregido en
1.0.106
1.0.105
La vulnerabilidad CVE-2025-59041 es una falla de ejecución remota de código (RCE) que afecta a la biblioteca @anthropic-ai/claude-code. Esta vulnerabilidad permite a un atacante ejecutar comandos arbitrarios en el sistema antes de que el usuario acepte el diálogo de confianza del espacio de trabajo. La vulnerabilidad afecta a versiones anteriores a 1.0.105 y se ha solucionado en la versión 1.0.105.
Un atacante que controle el repositorio Git y pueda modificar el archivo .git/config puede explotar esta vulnerabilidad. Al establecer el valor de user.email a una carga útil maliciosa, el comando de shell construido por Claude Code durante el inicio se verá interpolado sin la debida validación o escape. Esto permite la ejecución de comandos arbitrarios en el contexto del proceso de Claude Code, potencialmente comprometiendo la confidencialidad, integridad y disponibilidad del sistema. La severidad de este impacto radica en la posibilidad de obtener acceso no autorizado al sistema y ejecutar código malicioso sin la intervención del usuario.
La vulnerabilidad CVE-2025-59041 fue publicada el 2025-09-10. No se ha añadido a KEV al momento de la redacción. No se conocen públicamente pruebas de concepto (PoC) activas, pero la naturaleza de la vulnerabilidad (RCE) la convierte en un objetivo potencial para la explotación. La probabilidad de explotación se considera moderada debido a la necesidad de control sobre el repositorio Git.
Development teams and organizations using @anthropic-ai/claude-code in their Node.js projects are at risk. This is particularly relevant for teams using Git for version control and those who allow developers to work with repositories containing potentially untrusted code. Shared hosting environments where multiple users have access to Git repositories are also at increased risk.
• nodejs / supply-chain:
npm list @anthropic-ai/claude-code• nodejs / supply-chain: Check package.json for versions prior to 1.0.105. • nodejs / supply-chain: Monitor Node.js process execution for unexpected commands involving Git configuration values. • generic web: Review server logs for errors related to @anthropic-ai/claude-code initialization, particularly those involving Git commands.
disclosure
patch
Estado del Exploit
EPSS
0.15% (35% percentil)
CISA SSVC
La mitigación principal para CVE-2025-59041 es actualizar la biblioteca @anthropic-ai/claude-code a la versión 1.0.105 o superior. Esta versión incluye una corrección que evita la ejecución de comandos construidos a partir de configuraciones no confiables y valida/escapa adecuadamente las entradas. Si la actualización a la versión más reciente no es inmediatamente posible, se recomienda revisar y asegurar el archivo .git/config del repositorio para evitar la inyección de comandos maliciosos. Además, se debe implementar una política de seguridad que limite el acceso a la configuración del repositorio Git.
Actualice Claude Code a la versión 1.0.105 o superior. Esta actualización corrige una vulnerabilidad que permite la ejecución de código arbitrario a través de una configuración maliciosa del correo electrónico de Git. La actualización se puede realizar manualmente o, si está habilitada, se habrá aplicado automáticamente.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-59041 is a remote code execution vulnerability in the @anthropic-ai/claude-code Node.js package. It allows an attacker to execute arbitrary code by manipulating the Git configuration of a repository used by the package.
You are affected if you are using @anthropic-ai/claude-code versions prior to 1.0.105 and your environment allows attackers to modify Git configuration files.
Upgrade to version 1.0.105 or later of @anthropic-ai/claude-code. This version includes a fix that prevents command interpolation from untrusted configuration.
There is currently no evidence of active exploitation, but the vulnerability's ease of exploitation suggests a potential for future attacks.
Refer to the official @anthropic-ai security advisory for details and updates regarding CVE-2025-59041.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.