CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2026-31975

Critical
Published: Translated: NVD NIST

Summary

Cloud CLI (znany również jako Claude Code UI) przed wersją 1.25.0 zawierał podatność na wstrzyknięcie poleceń systemowych przez WebSocket Shell. Parametry projectPath i initialCommand w pliku server/index.js były bezpośrednio pobierane z ładunku wiadomości WebSocket i interpolowane do ciągu polecenia bash bez jakiejkolwiek sanitizacji, co umożliwiało wykonanie dowolnych poleceń systemowych.

Risk Assessment

Podatność ta stwarza poważne ryzyko dla organizacji, ponieważ umożliwia atakującym wykonanie dowolnych poleceń systemowych na serwerze, co może prowadzić do utraty danych lub przejęcia kontroli nad systemem.

Recommendation

Zaleca się aktualizację Cloud CLI do wersji 1.25.0 lub nowszej, aby usunąć tę podatność oraz przeprowadzenie audytu bezpieczeństwa w celu zidentyfikowania potencjalnych zagrożeń związanych z wstrzyknięciem poleceń.

Original NVD description (English source)

Cloud CLI (aka Claude Code UI) is a desktop and mobile UI for Claude Code, Cursor CLI, Codex, and Gemini-CLI. Prior to 1.25.0, OS Command Injection via WebSocket Shell. Both projectPath and initialCommand in server/index.js are taken directly from the WebSocket message payload and interpolated into a bash command string without any sanitization, enabling arbitrary OS command execution. A secondary injection vector exists via unsanitized sessionId. This vulnerability is fixed in 1.25.0.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS