Katalog CVE

CVE-2026-31862

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

Cloud CLI (znany również jako Claude Code UI) przed wersją 1.24.0 posiadał wiele punktów końcowych API związanych z Gitem, które używały execAsync() z interpolacją ciągów parametrów kontrolowanych przez użytkownika (plik, gałąź, wiadomość, commit). To umożliwiało uwierzytelnionym atakującym wykonywanie dowolnych poleceń systemowych.

Ocena ryzyka

Podatność ta stwarza ryzyko dla organizacji, ponieważ umożliwia atakującym z dostępem do systemu wykonanie nieautoryzowanych poleceń, co może prowadzić do poważnych naruszeń bezpieczeństwa.

Rekomendacja

Zaleca się aktualizację Cloud CLI do wersji 1.24.0 lub nowszej, aby usunąć tę podatność i zabezpieczyć system przed potencjalnymi atakami.

Oryginalny opis (angielski, źródło NVD)

Cloud CLI (aka Claude Code UI) is a desktop and mobile UI for Claude Code, Cursor CLI, Codex, and Gemini-CLI. Prior to 1.24.0, multiple Git-related API endpoints use execAsync() with string interpolation of user-controlled parameters (file, branch, message, commit), allowing authenticated attackers to execute arbitrary OS commands. This vulnerability is fixed in 1.24.0.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS