Vulnerabilidad en Claude Code (CVE-2025-55284)

Gravedad CVSS v4.0:

ALTA

Tipo:

CWE-78 Neutralización incorrecta de elementos especiales usados en un comando de sistema operativo (Inyección de comando de sistema operativo)

Fecha de publicación:

16/08/2025

Última modificación:

18/08/2025

Descripción

Claude Code es una herramienta de codificación agentica. Antes de la versión 1.0.4, era posible omitir las solicitudes de confirmación de Claude Code para leer un archivo y luego enviar su contenido por la red sin la confirmación del usuario debido a una lista de comandos seguros demasiado amplia. Para explotar esto de forma fiable, es necesario poder añadir contenido no confiable a una ventana de contexto de Claude Code. Los usuarios con la actualización automática estándar de Claude Code recibieron esta corrección automáticamente tras el lanzamiento. Los usuarios actuales de Claude Code no se ven afectados, ya que las versiones anteriores a la 1.0.24 están obsoletas y se han visto obligados a actualizar.

Impacto

Vector 4.0

CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:P/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N CVSS v4.0 Severidad y Métricas:

Puntuación base: 7.10 ALTA
Vector: CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:P/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Attack Requirements (AT): Ninguno
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Passsive
Confidentiality (VC): Alto
Integrity (VI): Ninguno
Availability (VA): Ninguno
Confidentiality (SC): Ninguno
Integrity (SI): Ninguno
Availability (SA): Ninguno

Puntuación base 4.0

7.10

Gravedad 4.0

ALTA

Referencias a soluciones, herramientas e información

https://github.com/anthropics/claude-code/security/advisories/GHSA-x5gv-jw7f-j6xj