BDU:2025-13141

Опубликовано: 04 авг. 2025

Источник: fstec

CVSS3: 8.8

CVSS2: 10

EPSS Низкий

Описание

Уязвимость инструмента для работы с кодом Claude Code связана с неверным ограничением имени пути к каталогу с ограниченным доступом. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации

Вендор

Anthropic

Наименование ПО

Claude Code

Версия ПО

до 0.2.111 (Claude Code)

Тип ПО

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Уровень опасности уязвимости

Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)

Высокий уровень опасности (базовая оценка CVSS 3.1 составляет 8,8)

Высокий уровень опасности (оценка CVSS 4.0 составляет 7,7)

Возможные меры по устранению уязвимости

Использование рекомендаций:

https://github.com/anthropics/claude-code/security/advisories/GHSA-pmw4-pwvc-3hx2

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

https://github.com/anthropics/claude-code/security/advisories/GHSA-pmw4-pwvc-3hx2

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2025-54794
CVE

EPSS

Процентиль: 12%

0.0004

Низкий

8.8 High

CVSS3

10 Critical

CVSS2

Связанные уязвимости

CVE-2025-54794

CVSS3: 9.1

nvd

6 месяцев назад

Claude Code is an agentic coding tool. In versions below 0.2.111, a path validation flaw using prefix matching instead of canonical path comparison, makes it possible to bypass directory restrictions and access files outside the CWD. Successful exploitation depends on the presence of (or ability to create) a directory with the same prefix as the CWD and the ability to add untrusted content into a Claude Code context window. This is fixed in version 0.2.111.

GHSA-pmw4-pwvc-3hx2

github