Une vulnérabilité grave d'exécution de code à distance (CVE non encore attribué) a été récemment révélée dans l'outil Claude Code CLI d'Anthropic. En incitant une victime à cliquer sur un deeplink piégé, un attaquant peut exécuter silencieusement n'importe quelle commande sur l'appareil cible, sans aucune confirmation de l'utilisateur. Cette faille a été corrigée dans la version 2.1.118 de Claude Code.
Le chercheur en sécurité Joernchen (de 0day.click) a identifié ce défaut lors d'un audit du code source de Claude Code. La vulnérabilité réside dans l'analyseur de paramètres du protocole claude-cli:// : il n'effectue pas une validation stricte de l'option --prefill dans l'URI. Un attaquant peut construire un URI malveillant, utiliser le hook SessionStart pour injecter une charge utile, et définir le paramètre repo sur un dépôt local déjà approuvé par la victime (par exemple anthropics/claude-code d'Anthropic), ce qui permet d'exécuter la commande en arrière-plan sans aucun avertissement.
Ce type d'attaque est facile à réaliser : il suffit à l'attaquant de créer un lien anodin et d'inciter l'utilisateur à cliquer via du social engineering ou une redirection de page. Le processeur de deeplink interprète directement les paramètres malveillants, sans nécessiter de contournement de sandbox ni d'élévation de privilèges. Anthropic a publié d'urgence une mise à jour corrigeant la logique d'analyse. Tous les utilisateurs sont invités à mettre à jour immédiatement vers la version 2.1.118 ou supérieure et à traiter avec prudence tout lien claude-cli:// provenant d'une source inconnue.
À retenir : cette vulnérabilité rappelle que le traitement des liens profonds dans les outils CLI constitue désormais une surface d'attaque à haut risque. Lors de l'implémentation d'un gestionnaire d'URI, les développeurs doivent par défaut filtrer tous les paramètres via une liste blanche et intégrer un mécanisme de confirmation utilisateur, sans quoi une simple erreur d'analyse peut conduire à un risque de contrôle total à distance.
