В CLI-инструменте Claude Code от компании Anthropic недавно была обнаружена серьезная уязвимость удаленного выполнения кода (CVE пока не присвоен). Злоумышленнику достаточно заманить жертву перейти по специально созданному deeplink, чтобы на целевом устройстве молча выполнить произвольные команды без какого-либо взаимодействия или подтверждения. Уязвимость уже исправлена в версии Claude Code 2.1.118.
Исследователь безопасности Joernchen (из 0day.click) обнаружил этот дефект при аудите исходного кода Claude Code. Корень уязвимости кроется в парсере параметров, обрабатывающем протокол claude-cli:// — он не проводил строгую проверку опции --prefill в URI. Злоумышленник может создать вредоносный URI, используя хук SessionStart для внедрения полезной нагрузки; одновременно параметр repo устанавливается на локально доверенный репозиторий жертвы (например, собственный репозиторий Anthropic anthropics/claude-code), что позволяет выполнять команды в фоновом режиме без каких-либо предупреждений.
