Claude Code
Claude Code CLIにOSコマンドインジェクション脆弱性 — CVE-2026-35021等3件のCVEが報告
元記事を読む →Summary
Claude Code CLIおよびClaude Agent SDKにおいて、プロンプトエディタ呼び出しユーティリティにOSコマンドインジェクション脆弱性(CVE-2026-35020、CVE-2026-35021、CVE-2026-35022)が報告された。悪意のあるファイルパスを細工することで任意コマンド実行が可能で、資格情報のHTTP経由流出にチェーン可能。v2.1.91時点で悪用可能であった。Anthropicの脆弱性開示プログラムはCVE-2026-35020とCVE-2026-35022を「Informative」(仕様通りの動作)としてクローズ。
Key Takeaways
- CVE-2026-35021: プロンプトエディタ呼び出しユーティリティのOSコマンドインジェクション
- 3件のCVEがチェーンしてHTTP経由の資格情報流出に繋がる
- v2.1.91時点で悪用可能(v2.1.101のPOSIX `which`フォールバック修正で一部対応)
- Anthropicは一部をInformative(仕様通り)としてクローズ、コミュニティ議論が継続
- 信頼できない環境でのClaude Code利用時はファイルパスの検証を徹底すべき
Best Practice Updates
- Claude Code CLIの脆弱性チェーン(CVE-2026-35020/35021/35022)に対し、最新バージョンへのアップデートと信頼できない環境での利用制限を推奨
元記事の著作権は各著作者に帰属します。