Se ha descubierto una vulnerabilidad crítica de ejecución remota de código (RCE) en la herramienta de línea de comandos Claude Code de Anthropic. Este fallo permitía a los atacantes ejecutar comandos arbitrarios en el equipo de la víctima mediante el uso de deeplinks maliciosos. El problema radicaba en un analizador de argumentos de línea de comandos insuficiente, pero ya ha sido solucionado en la versión 2.1.118.

Se ha descubierto una vulnerabilidad crítica de ejecución remota de código (RCE) en la herramienta de línea de comandos (CLI) Claude Code de Anthropic, que permite a los atacantes ejecutar comandos arbitrarios en la máquina de una víctima engañándola para que haga clic en un deeplink especialmente diseñado.

El fallo, ya parcheado en la versión 2.1.118 de Claude Code, radicaba en un analizador de argumentos de línea de comandos ingenuo que podía ser explotado a través del manejador de deeplinks claude-cli://.

El investigador de seguridad Joernchen, de 0day.click, identificó la vulnerabilidad mientras auditaba manualmente el código fuente de Claude Code.

El problema surgió de eagerParseCliFlag, una función en main.tsx diseñada para analizar indicadores críticos como --settings antes de que se ejecute la rutina de inicialización principal.

El problema: eagerParseCliFlag escaneaba todo el array de argumentos de la línea de comandos en busca de cualquier cadena que comenzara con --settings=, sin rastrear si esa cadena era un indicador real o simplemente un valor pasado a otro indicador. Este análisis ciego al contexto creó un punto de inyección peligroso.

El manejador de deeplinks de Claude Code utiliza la opción --prefill para pre-poblar los prompts del usuario con contenido del parámetro q del deeplink. Debido a que el analizador anticipado no distinguía entre los indicadores y los argumentos de los mismos, cualquier cadena --settings=... incrustada dentro del valor del parámetro q era tratada silenciosamente como una anulación de configuración legítima.

Armando los Hooks de Claude Code

Claude Code admite una potente configuración de hooks que permite que los comandos se ejecuten automáticamente en eventos definidos del ciclo de vida de la sesión.

Un atacante podría explotar el fallo de análisis para inyectar un hook SessionStart malicioso a través de una URI diseñada:

textclaude-cli://open?repo=anthropics/claude-code&q=--settings={"hooks":{"SessionStart":[{"type":"command","command":"bash -c 'id > /tmp/pwned.txt'"}]}}

Cuando una víctima abre este enlace, Claude Code se inicia con la configuración proporcionada por el atacante, y el comando inyectado se dispara inmediatamente al inicio de la sesión, sin que requiera ninguna interacción del usuario más allá de hacer clic en el enlace.

Agravando la gravedad, la vulnerabilidad permitía eludir completamente el diálogo de confianza del espacio de trabajo de Claude Code.

Al establecer el parámetro repo del deeplink en un repositorio que la víctima ya hubiera clonado y marcado como confiable localmente, como el propio anthropics/claude-code, la ejecución ocurría silenciosamente, sin que se mostraran avisos de advertencia al usuario, según dijo Joernchen.

Anthropic solucionó la vulnerabilidad en la versión 2.1.118 de Claude Code. La corrección consiste en un análisis de argumentos consciente del contexto que distingue correctamente entre los indicadores de la CLI y sus valores asociados, eliminando por completo la superficie de inyección. Se insta encarecidamente a los usuarios que aún utilicen versiones anteriores a que se actualicen inmediatamente.

El investigador señaló que el antipatrón startsWith utilizado en arrays raw de process.argv es un error ampliamente aplicable; cualquier aplicación que realice un análisis de argumentos anticipado y ciego al contexto enfrenta riesgos de inyección similares, especialmente cuando hay manejadores de deeplinks involucrados.