Katalog CVE

CVE-2026-31975

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

Cloud CLI (znany również jako Claude Code UI) przed wersją 1.25.0 zawierał podatność na wstrzyknięcie poleceń systemowych przez WebSocket Shell. Parametry projectPath i initialCommand w pliku server/index.js były bezpośrednio pobierane z ładunku wiadomości WebSocket i interpolowane do ciągu polecenia bash bez jakiejkolwiek sanitizacji, co umożliwiało wykonanie dowolnych poleceń systemowych.

Ocena ryzyka

Podatność ta stwarza poważne ryzyko dla organizacji, ponieważ umożliwia atakującym wykonanie dowolnych poleceń systemowych na serwerze, co może prowadzić do utraty danych lub przejęcia kontroli nad systemem.

Rekomendacja

Zaleca się aktualizację Cloud CLI do wersji 1.25.0 lub nowszej, aby usunąć tę podatność oraz przeprowadzenie audytu bezpieczeństwa w celu zidentyfikowania potencjalnych zagrożeń związanych z wstrzyknięciem poleceń.

Oryginalny opis (angielski, źródło NVD)

Cloud CLI (aka Claude Code UI) is a desktop and mobile UI for Claude Code, Cursor CLI, Codex, and Gemini-CLI. Prior to 1.25.0, OS Command Injection via WebSocket Shell. Both projectPath and initialCommand in server/index.js are taken directly from the WebSocket message payload and interpolated into a bash command string without any sanitization, enabling arbitrary OS command execution. A secondary injection vector exists via unsanitized sessionId. This vulnerability is fixed in 1.25.0.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS