क्लाउड कोड रिसर्च प्रीव्यू में एक पाथ प्रतिबंध बाईपास है जो अनधिकृत फ़ाइल एक्सेस की अनुमति दे सकता है

यह भेद्यता हमलावर को CWD के समान उपसर्ग वाली निर्देशिका बनाने या ऐसी निर्देशिका बनाने की क्षमता के साथ, Claude Code संदर्भ विंडो में अविश्वसनीय सामग्री जोड़ने की अनुमति देती है। सफल शोषण से अनधिकृत फ़ाइलों तक पहुँच प्राप्त हो सकती है, जिससे संवेदनशील डेटा का खुलासा हो सकता है या सिस्टम पर अनपेक्षित क्रियाएं हो सकती हैं। हमलावर संभावित रूप से सिस्टम पर नियंत्रण हासिल कर सकते हैं या डेटा को संशोधित कर सकते हैं। इस भेद्यता का प्रभाव इस बात पर निर्भर करता है कि सिस्टम पर कौन सी फ़ाइलें संग्रहीत हैं और हमलावर के पास किस स्तर की पहुंच है।

Developers and organizations utilizing the @anthropic-ai/claude-code package in their Node.js applications are at risk. Specifically, those using older, unmanaged versions of the package or those who have not implemented robust input validation are particularly vulnerable.

• nodejs / server:

  npm list @anthropic-ai/claude-code

• nodejs / server:

  npm audit @anthropic-ai/claude-code

• nodejs / server: Check for directories with predictable names near the application's working directory. Examine application logs for unusual file access attempts.

1. 2025-08-04Disclosure

   disclosure

1. आरक्षित2025-07-29
2. प्रकाशित2025-08-04
3. संशोधित2025-08-05
4. EPSS अद्यतन2026-03-23

CVE-2025-54794 के लिए प्राथमिक शमन उपाय @anthropic-ai/claude-code को संस्करण 0.2.111 या बाद के संस्करण में अपडेट करना है। चूंकि पुराने संस्करणों को अपडेट करने के लिए मजबूर किया गया है, इसलिए अधिकांश उपयोगकर्ता पहले से ही सुरक्षित हैं। यदि अपडेट करना संभव नहीं है, तो एक अस्थायी समाधान के रूप में, CWD के समान उपसर्ग वाली किसी भी निर्देशिका को हटाने पर विचार करें। सुनिश्चित करें कि Claude Code संदर्भ विंडो में केवल विश्वसनीय सामग्री ही जोड़ी जाए। भविष्य में इस तरह की भेद्यताओं को रोकने के लिए, मजबूत पथ सत्यापन तकनीकों को लागू करें और नियमित रूप से निर्भरता को अपडेट करें। अपडेट के बाद, यह सत्यापित करें कि फ़ाइल एक्सेस प्रतिबंध ठीक से काम कर रहे हैं और अनधिकृत फ़ाइलों तक पहुंच प्रतिबंधित है।