Plateforme
nodejs
Composant
@siteboon/claude-code-ui
Corrigé dans
1.24.1
1.24.0
La vulnérabilité CVE-2026-31861 est une injection de commandes affectant la bibliothèque Node.js @siteboon/claude-code-ui. Cette faille permet à un attaquant d'exécuter des commandes arbitraires sur le serveur en manipulant les paramètres gitName et gitEmail de l'endpoint de configuration Git. Les versions concernées sont celles antérieures à 1.24.0. Une mise à jour vers la version 1.24.0 est disponible pour corriger cette vulnérabilité.
L'exploitation réussie de cette vulnérabilité permet à un attaquant d'exécuter des commandes système arbitraires sur le serveur hébergeant l'application. Cela peut conduire à la compromission complète du serveur, à la vol de données sensibles, à l'installation de logiciels malveillants, ou à l'utilisation du serveur comme point de pivot pour attaquer d'autres systèmes au sein du réseau. La nécessité d'un JWT pour l'exploitation est théoriquement une barrière, mais la description mentionne une possibilité de contournement (VULN-01), ce qui augmente significativement le risque. L'impact est amplifié si l'application est utilisée dans un environnement de production avec des données critiques.
La vulnérabilité a été rendue publique le 2026-03-10. La description mentionne une possibilité de contournement de l'authentification JWT (VULN-01), ce qui pourrait faciliter l'exploitation. Il n'y a pas d'indication d'une présence sur le KEV (CISA Known Exploited Vulnerabilities) à ce jour. La CVSS score est de 7.5 (HIGH), indiquant une probabilité d'exploitation significative. Il est conseillé de surveiller les forums de sécurité et les bases de données de vulnérabilités pour d'éventuels Proof of Concept (PoC) publics.
Organizations using @siteboon/claude-code-ui in their Node.js applications, particularly those relying on JWT authentication for access control, are at risk. Development teams using this package in CI/CD pipelines or automated deployment systems are also vulnerable if they haven't implemented robust input validation. Shared hosting environments where multiple applications share the same server are especially susceptible, as a compromise of one application could lead to the compromise of others.
• nodejs / server:
ps aux | grep '/api/user/git-config' | grep -i 'gitName'| grep -i 'gitEmail'• nodejs / server:
journalctl -u your-node-app -g 'api/user/git-config' --since "1 hour ago"• generic web:
curl -I 'your-server.com/api/user/git-config?gitName=;ls' # Check for command execution in response headersdisclosure
patch
Statut de l'Exploit
EPSS
0.05% (percentile 16%)
CISA SSVC
La mitigation principale consiste à mettre à jour la bibliothèque @siteboon/claude-code-ui vers la version 1.24.0 ou supérieure, qui corrige cette vulnérabilité. Si une mise à jour immédiate n'est pas possible, il est recommandé de désactiver temporairement l'endpoint /api/user/git-config ou de mettre en œuvre une validation stricte des entrées gitName et gitEmail pour empêcher l'injection de caractères spéciaux. L'utilisation d'un Web Application Firewall (WAF) avec des règles spécifiques pour détecter et bloquer les tentatives d'injection de commandes peut également aider à atténuer le risque. Après la mise à jour, vérifiez que l'endpoint /api/user/git-config ne permet plus l'exécution de commandes arbitraires en tentant d'injecter des commandes malveillantes dans les paramètres gitName et gitEmail.
Mettez à jour Cloud CLI à la version 1.24.0 ou supérieure. Cette version corrige la vulnérabilité d'injection de commandes shell. La mise à jour peut être effectuée en téléchargeant la dernière version depuis le site web officiel ou en utilisant le gestionnaire de paquets correspondant.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-31861 est une vulnérabilité d'injection de commandes affectant la bibliothèque Node.js @siteboon/claude-code-ui, permettant l'exécution de commandes arbitraires sur le serveur.
Vous êtes affecté si vous utilisez une version de @siteboon/claude-code-ui antérieure à 1.24.0 et que l'endpoint /api/user/git-config est activé.
Mettez à jour @siteboon/claude-code-ui vers la version 1.24.0 ou supérieure. En attendant, désactivez l'endpoint ou validez strictement les entrées.
Il n'y a pas de confirmation d'exploitation active à ce jour, mais la CVSS score élevée et la possibilité de contournement de l'authentification JWT suggèrent un risque significatif.
Consultez le site web de @siteboon ou le dépôt GitHub du projet pour obtenir les informations officielles sur la vulnérabilité et les correctifs.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.