CVE Catalog
EnglishPolski(English translation not available — showing Polish)

CVE-2026-42074

CriticalCVSS 9.8
Published: Updated: Translated: NVD NIST

Summary

OpenClaude to interfejs wiersza poleceń dla dostawców modeli chmurowych i lokalnych. Przed wersją 0.5.1 parametr dangerouslyDisableSandbox był dostępny w schemacie wejściowym BashTool, co pozwalało na ustawienie go na true przez LLM, co w połączeniu z domyślnym ustawieniem allowUnsandboxedCommands: true umożliwiało wykonanie dowolnych poleceń poza piaskownicą.

Risk Assessment

Organizacja jest narażona na pełne wykonanie kodu na poziomie hosta, co może prowadzić do poważnych naruszeń bezpieczeństwa i utraty danych. Wykorzystanie tej podatności przez nieautoryzowane osoby może skutkować przejęciem kontroli nad systemem.

Recommendation

Zaleca się aktualizację do wersji 0.5.1 lub nowszej, aby usunąć tę podatność. Dodatkowo, warto rozważyć ograniczenie dostępu do parametrów mogących wpływać na bezpieczeństwo systemu.

Original NVD description (English source)

OpenClaude is an open-source coding-agent command line interface for cloud and local model providers. Prior to version 0.5.1, the dangerouslyDisableSandbox parameter is exposed as part of the BashTool input schema, meaning the LLM (an untrusted principal per the project's own threat model) can set it to true in any tool_use response. Combined with the default allowUnsandboxedCommands: true setting, a prompt-injected model can escape the sandbox for any arbitrary command, achieving full host-level code execution. This issue has been patched in version 0.5.1.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS