Plataforma
nodejs
Componente
@siteboon/claude-code-ui
Corrigido em
1.24.1
1.24.0
A vulnerabilidade CVE-2026-31861 é uma falha de injeção de comandos encontrada no componente @siteboon/claude-code-ui, especificamente no endpoint /api/user/git-config. Um atacante pode explorar essa falha para executar comandos arbitrários no servidor, potencialmente comprometendo a integridade e confidencialidade dos dados. A vulnerabilidade afeta versões anteriores a 1.24.0 e foi publicada em 2026-03-10. A correção está disponível na versão 1.24.0.
A exploração bem-sucedida desta vulnerabilidade permite a um atacante injetar comandos do sistema operacional através dos parâmetros gitName e gitEmail no endpoint /api/user/git-config. Como a autenticação JWT é necessária (embora possa ser contornada através de VULN-01), o atacante precisa de acesso válido, mas a capacidade de executar comandos arbitrários representa um risco significativo. Isso pode levar ao roubo de dados confidenciais, modificação de arquivos do sistema, instalação de malware ou até mesmo ao controle total do servidor. A injeção de comandos é uma vulnerabilidade crítica que pode ter um impacto devastador se explorada com sucesso.
A vulnerabilidade foi divulgada publicamente em 2026-03-10. Não há informações disponíveis sobre exploração ativa ou inclusão no KEV (CISA Known Exploited Vulnerabilities) no momento da redação. A existência de uma vulnerabilidade de injeção de comandos, especialmente com a possibilidade de contorno de autenticação, indica um risco potencial significativo, e a aplicação de medidas de mitigação é altamente recomendada.
Organizations using @siteboon/claude-code-ui in their Node.js applications, particularly those relying on JWT authentication for access control, are at risk. Development teams using this package in CI/CD pipelines or automated deployment systems are also vulnerable if they haven't implemented robust input validation. Shared hosting environments where multiple applications share the same server are especially susceptible, as a compromise of one application could lead to the compromise of others.
• nodejs / server:
ps aux | grep '/api/user/git-config' | grep -i 'gitName'| grep -i 'gitEmail'• nodejs / server:
journalctl -u your-node-app -g 'api/user/git-config' --since "1 hour ago"• generic web:
curl -I 'your-server.com/api/user/git-config?gitName=;ls' # Check for command execution in response headersdisclosure
patch
Status do Exploit
EPSS
0.05% (percentil 16%)
CISA SSVC
A mitigação primária para CVE-2026-31861 é atualizar o componente @siteboon/claude-code-ui para a versão 1.24.0 ou superior, que inclui a correção para esta vulnerabilidade. Se a atualização imediata não for possível, considere implementar medidas de mitigação temporárias, como a validação e sanitização rigorosa de todas as entradas de usuário nos parâmetros gitName e gitEmail. Implementar um Web Application Firewall (WAF) com regras para detectar e bloquear tentativas de injeção de comandos também pode ajudar a reduzir o risco. Monitore os logs do servidor em busca de atividades suspeitas relacionadas ao endpoint /api/user/git-config.
Atualize Cloud CLI para a versão 1.24.0 ou superior. Esta versão corrige a vulnerabilidade de injeção de comandos shell. A atualização pode ser realizada baixando a última versão do site oficial ou utilizando o gerenciador de pacotes correspondente.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-31861 is a Command Injection vulnerability in the @siteboon/claude-code-ui Node.js package, allowing attackers to execute arbitrary OS commands through the /api/user/git-config endpoint.
You are affected if you are using @siteboon/claude-code-ui versions prior to 1.24.0 and the /api/user/git-config endpoint is accessible.
Upgrade to @siteboon/claude-code-ui version 1.24.0 or later. Implement input validation and WAF rules as temporary mitigations.
While no public exploits are currently known, the high CVSS score and potential for authentication bypass suggest a high probability of exploitation.
Refer to the @siteboon/claude-code-ui project's repository or website for the official advisory and release notes.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.