Vulnerabilidad en Cloud CLI (CVE-2026-31861)
Gravedad CVSS v4.0:
ALTA
Tipo:
CWE-94
Control incorrecto de generación de código (Inyección de código)
Fecha de publicación:
11/03/2026
Última modificación:
17/03/2026
Descripción
Cloud CLI (también conocida como Claude Code UI) es una interfaz de usuario de escritorio y móvil para Claude Code, Cursor CLI, Codex y Gemini-CLI. Antes de la versión 1.24.0, el endpoint /API/user/git-config construye comandos de shell interpolando valores de gitName y gitEmail proporcionados por el usuario en cadenas de comandos pasadas a child_process.exec(). La entrada se coloca entre comillas dobles y solo ' " ' se escapa, pero los backticks (`), la sustitución de comandos $() y las secuencias \ son todas interpretadas dentro de cadenas entre comillas dobles en bash. Esto permite a atacantes autenticados ejecutar comandos arbitrarios del sistema operativo a través del endpoint de configuración de git. Esta vulnerabilidad se corrige en la versión 1.24.0.
Impacto
Puntuación base 4.0
8.70
Gravedad 4.0
ALTA
Puntuación base 3.x
8.80
Gravedad 3.x
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:cloudcli:cloud_cli:*:*:*:*:*:*:*:* | 1.24.0 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://github.com/siteboon/claudecodeui/commit/86c33c1c0cb34176725a38f46960213714fc3e04
- https://github.com/siteboon/claudecodeui/releases/tag/v1.24.0
- https://github.com/siteboon/claudecodeui/security/advisories/GHSA-7fv4-fmmc-86g2
- https://github.com/siteboon/claudecodeui/security/advisories/GHSA-7fv4-fmmc-86g2