Vulnerabilidad RCE en Claude Code: un clic en un enlace malicioso puede ejecutar comandos arbitrarios

La herramienta Claude Code CLI, propiedad de Anthropic, ha sido recientemente identificada con una grave vulnerabilidad de ejecución remota de código (CVE aún no asignado). Un atacante solo necesita engañar a la víctima para que haga clic en un deeplink especialmente diseñado, lo que permite ejecutar comandos arbitrarios de forma silenciosa en el dispositivo objetivo, sin requerir ninguna interacción de confirmación. La vulnerabilidad ya ha sido corregida en la versión Claude Code 2.1.118.

El investigador de seguridad Joernchen (de 0day.click) descubrió esta falla durante una auditoría del código fuente de Claude Code. El problema radica en el analizador de parámetros que maneja el protocolo claude-cli://: no valida estrictamente la opción --prefill en la URI. Un atacante puede construir una URI maliciosa, inyectando una carga útil a través del gancho SessionStart; al mismo tiempo, configura el parámetro repo como un repositorio de confianza local para la víctima (por ejemplo, anthropics/claude-code de Anthropic), lo que hace que los comandos se ejecuten en segundo plano sin mostrar ninguna advertencia.

Este tipo de ataque tiene una baja barrera de entrada: el atacante solo necesita crear un enlace que parezca inofensivo e inducir al usuario a hacer clic mediante ingeniería social o redireccionamientos web. Dado que el procesador de deeplink analiza directamente los parámetros maliciosos, ni siquiera es necesario evadir sandboxes o escalar privilegios. Anthropic ha lanzado de urgencia una actualización que corrige la lógica de análisis, y recomienda a todos los usuarios actualizar inmediatamente a la versión 2.1.118 o superior, así como tener precaución con enlaces claude-cli:// de origen desconocido.

Opinión: Esta vulnerabilidad vuelve a encender las alarmas: el manejo de enlaces profundos en herramientas CLI se está convirtiendo en una zona de alto riesgo para la superficie de ataque. Los desarrolladores, al implementar procesadores de URI, deben aplicar por defecto filtros de listas blancas a todos los parámetros e incluir un mecanismo de confirmación del usuario; de lo contrario, un pequeño error de análisis podría derivar en un riesgo completo de control remoto.