Plataforma
nodejs
Componente
@anthropic-ai/claude-code
Corregido en
2.0.73
2.0.72
La vulnerabilidad CVE-2026-24887 es una inyección de comandos presente en la librería @anthropic-ai/claude-code. Esta falla permite a un atacante eludir el proceso de confirmación de Claude Code y ejecutar comandos no autorizados a través del comando find. La explotación requiere la capacidad de insertar contenido no confiable en el contexto de Claude Code. Las versiones afectadas son aquellas anteriores a 2.0.72; los usuarios con actualizaciones automáticas ya han recibido la corrección.
Un atacante que explote esta vulnerabilidad podría ejecutar comandos arbitrarios en el sistema donde se ejecuta @anthropic-ai/claude-code. Esto podría resultar en la ejecución de código malicioso, robo de datos sensibles, o incluso el control completo del sistema. La capacidad de inyectar contenido no confiable en el contexto de Claude Code es la condición principal para la explotación, lo que podría ocurrir si la aplicación no valida adecuadamente la entrada del usuario. La severidad de este impacto se agrava por la posibilidad de que el atacante pueda escalar privilegios o moverse lateralmente dentro de la red.
Esta vulnerabilidad fue reportada a través de HackerOne por Alex Bernier. No se ha confirmado explotación activa en el mundo real, pero la existencia de una vulnerabilidad de inyección de comandos siempre presenta un riesgo significativo. La probabilidad de explotación se considera media debido a la necesidad de insertar contenido no confiable en el contexto de Claude Code, lo que podría requerir una interacción específica del usuario o una configuración particular de la aplicación. La vulnerabilidad fue publicada el 3 de febrero de 2026.
Applications and services utilizing the @anthropic-ai/claude-code Node.js package are at risk, particularly those that allow user-controlled input into the Claude Code context window. Developers integrating Claude Code into custom applications and those relying on automated dependency updates are especially vulnerable if they are using versions prior to 2.0.72.
• nodejs / supply-chain:
npm list @anthropic-ai/claude-code
# Check version, should be >= 2.0.72• generic web:
curl -I <URL_USING_CLAUDE_CODE>
# Inspect response headers for unusual content or error messages related to command execution.disclosure
Estado del Exploit
EPSS
0.04% (14% percentil)
CISA SSVC
La mitigación principal para CVE-2026-24887 es actualizar la librería @anthropic-ai/claude-code a la versión 2.0.72 o posterior. Si la actualización no es inmediatamente posible, se recomienda revisar y fortalecer la validación de la entrada del usuario en la aplicación que utiliza Claude Code, especialmente aquellos datos que se incluyen en el contexto de la herramienta. Implementar un sistema de registro y monitoreo robusto puede ayudar a detectar intentos de explotación. Después de la actualización, confirme la corrección ejecutando pruebas de seguridad que simulen la inyección de comandos.
Actualice Claude Code a la versión 2.0.72 o posterior. Esta versión corrige la vulnerabilidad de inyección de comandos. La actualización evitará la ejecución de comandos no confiables.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-24887 is a Command Injection vulnerability affecting versions of @anthropic-ai/claude-code before 2.0.72. It allows attackers to bypass confirmation prompts and execute commands by manipulating the context window.
You are affected if you are using @anthropic-ai/claude-code versions prior to 2.0.72. Check your project dependencies to determine if you are vulnerable.
Upgrade to version 2.0.72 or later of @anthropic-ai/claude-code. Implement input validation and sanitization as a temporary workaround if immediate upgrades are not possible.
There is currently no evidence of active exploitation, but the potential impact warrants prompt remediation.
Refer to the HackerOne report and the @anthropic-ai/claude-code release notes for details on this vulnerability.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.