Claude Code
Claude Code CLIにOSコマンドインジェクション脆弱性 — CVE-2026-35021等3件のCVEが報告
元記事を読む(cvedetails.com) ↗Summary
Claude Code CLIおよびClaude Agent SDKにおいて、プロンプトエディタ呼び出しユーティリティにOSコマンドインジェクション脆弱性(CVE-2026-35020、CVE-2026-35021、CVE-2026-35022)が報告された。悪意のあるファイルパスを細工することで任意コマンド実行が可能で、資格情報のHTTP経由流出にチェーン可能。v2.1.91時点で悪用可能であった。Anthropicの脆弱性開示プログラムはCVE-2026-35020とCVE-2026-35022を「Informative」(仕様通りの動作)としてクローズ。
Key Takeaways
- ▸ CVE-2026-35021: プロンプトエディタ呼び出しユーティリティのOSコマンドインジェクション
- ▸ 3件のCVEがチェーンしてHTTP経由の資格情報流出に繋がる
- ▸ v2.1.91時点で悪用可能(v2.1.101のPOSIX `which`フォールバック修正で一部対応)
- ▸ Anthropicは一部をInformative(仕様通り)としてクローズ、コミュニティ議論が継続
- ▸ 信頼できない環境でのClaude Code利用時はファイルパスの検証を徹底すべき
Best Practice Updates
- ✓ Claude Code CLIの脆弱性チェーン(CVE-2026-35020/35021/35022)に対し、最新バージョンへのアップデートと信頼できない環境での利用制限を推奨
Same Day Signals
すべて見る →- Anthropic CoreWeave-Anthropic マルチイヤーインフラ契約 — 主要AIモデルプロバイダー10社中9社がCoreWeaveプラットフォームに
- Anthropic AnthropicがカスタムアーキテクチャのAIチップ設計を検討中 — $30B ARR突破でコンピュート需要が急増
- Claude Code Claude Code v2.1.101リリース — `/team-onboarding`コマンド、OS CA証明書デフォルト信頼、多数のセキュリティ修正
- MCP MCP Maintainer Team拡大 — Den DelimarskyがLead Maintainer昇格、Clare Liguori(AWS)が新Core Maintainer就任
元記事の著作権は各著作者に帰属します。