Platform
nodejs
Component
@anthropic-ai/claude-code
Opgelost in
0.2.112
0.2.111
CVE-2025-54794 describes a path traversal vulnerability discovered in the @anthropic-ai/claude-code Node.js package. This flaw stems from insufficient path validation, enabling attackers to potentially access files outside the intended working directory. Affected versions are those prior to 0.2.111; users on standard Claude Code auto-update received the fix automatically after release, and deprecated versions have been forced to update.
Een succesvolle exploitatie van deze kwetsbaarheid stelt een aanvaller in staat om willekeurige bestanden op het systeem te lezen, mits de aanvaller een directory kan creëren met een prefix die overeenkomt met de huidige werkdirectory en de mogelijkheid heeft om onbetrouwbare content in een Claude Code context window te plaatsen. De impact kan variëren afhankelijk van de bestanden die toegankelijk zijn, maar kan leiden tot blootstelling van gevoelige informatie, configuratiebestanden of zelfs code. Dit kan leiden tot verdere compromittering van het systeem en de applicatie die @anthropic-ai/claude-code gebruikt.
Er is geen publieke proof-of-concept (POC) bekend voor deze kwetsbaarheid. De kwetsbaarheid is ontdekt en gemeld door Elad Beb. De KEV status is momenteel onbekend. De publicatiedatum van de CVE is 2025-08-04. Er zijn geen indicaties van actieve exploitatie op dit moment.
Developers and organizations utilizing the @anthropic-ai/claude-code package in their Node.js applications are at risk. Specifically, those using older, unmanaged versions of the package or those who have not implemented robust input validation are particularly vulnerable.
• nodejs / server:
npm list @anthropic-ai/claude-code• nodejs / server:
npm audit @anthropic-ai/claude-code• nodejs / server: Check for directories with predictable names near the application's working directory. Examine application logs for unusual file access attempts.
disclosure
Exploit Status
EPSS
0.05% (14% percentiel)
CISA SSVC
De primaire mitigatie is het upgraden van @anthropic-ai/claude-code naar versie 0.2.111 of hoger. Omdat oudere versies zijn afgeschaft, worden gebruikers gedwongen om te updaten. Indien een upgrade niet direct mogelijk is, is het belangrijk om de toegang tot de werkdirectory te beperken en ervoor te zorgen dat er geen onbetrouwbare content in de Claude Code context window wordt geplaatst. Controleer de configuratie van de applicatie die @anthropic-ai/claude-code gebruikt om te verzekeren dat de padvalidatie correct is geïmplementeerd.
Actualice Claude Code a la versión 0.2.111 o superior. Esta versión corrige la vulnerabilidad de omisión de restricción de ruta. La actualización evitará el acceso no autorizado a archivos fuera del directorio de trabajo actual.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2025-54794 is a HIGH severity vulnerability in @anthropic-ai/claude-code allowing unauthorized file access due to a flawed path validation mechanism. Versions prior to 0.2.111 are affected.
You are affected if you are using @anthropic-ai/claude-code versions prior to 0.2.111. Users on standard auto-update received the fix. Deprecated versions have been forced to update.
Upgrade to version 0.2.111 or later of @anthropic-ai/claude-code. Implement strict input validation as a temporary workaround if upgrading is not immediately possible.
There is currently no indication of active exploitation of CVE-2025-54794.
Refer to the official @anthropic-ai documentation and release notes for details regarding this vulnerability and the fix.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.