Descubren 3 vulnerabilidades en Claude Code que permitían ejecución remota de código y robo de claves API (ya corregidas)

Check Point Research reveló 3 vulnerabilidades de seguridad en Claude Code de Anthropic. En todos los casos, el ataque era posible con solo clonar o abrir un repositorio no confiable.

3 vulnerabilidades

1.	Sin CVE (CVSS 8.7) — inyección de código mediante los hooks de proyecto en `.claude/settings.json`. Permitía ejecutar código arbitrario sin consentimiento del usuario. Corregido en la v1.0.87 en septiembre de 2025.  
2.	CVE-2025-59536 (CVSS 8.7) — al establecer la opción `enableAllProjectMcpServers` de `.mcp.json` en `true`, era posible ejecutar automáticamente comandos de shell durante la inicialización del servidor MCP. Corregido en la v1.0.111 en octubre de 2025.  
3.	CVE-2026-21852 (CVSS 5.3) — al sobrescribir la variable de entorno `ANTHROPIC_BASE_URL` con un servidor controlado por el atacante, se enviaban solicitudes API antes del prompt de verificación de confianza, lo que permitía robar claves API. Corregido en la v2.0.65 en enero de 2026.  

Amenaza principal

Con solo abrir un repositorio malicioso, la clave API del desarrollador podía filtrarse y el tráfico API autenticado podía redirigirse a servidores externos. Esto podía permitir acceso a archivos de proyectos compartidos, alteración de datos en la nube y costos inesperados por uso de API.

Check Point advirtió que, a medida que las herramientas de IA ejecutan comandos, inicializan integraciones externas y realizan comunicaciones de red de forma autónoma, los propios archivos de configuración pasaron a formar parte de la capa de ejecución. Por eso, no solo el código fuente, sino también el simple acto de abrir un repositorio, puede convertirse en el punto de partida de una amenaza a la cadena de suministro.
Las tres vulnerabilidades ya fueron corregidas.