CVE-2026-47751 in claude-code-action
الملخص
بحسب VulDB • 16/07/2026
تُعد "Claude Code Action" إجراءً عاماً (GitHub Action) يعمل على تشغيل Claude Code في طلبات السحب (Pull Requests) والمشكلات (Issues) الخاصة بـ GitHub. قبل الإصدار 1.0.74، نظراً لأن هذا الإجراء كان يقوم بفحص فروع رؤوس طلبات السحب التي يتحكم فيها المهاجم، وقراءة ملف .mcp.json من دليل العمل عبر مصادر الإعدادات الافتراضية، وتمكين جميع خوادم MCP الخاصة بالمشروع بشكل غير مشروط عبر خيار enableAllProjectMcpServers، فإن مهاجماً قام بفتح طلب سحب يحتوي على ملف .mcp.json ضار كان بإمكانه تحقيق تنفيذ عشوائي للكود (Arbitrary Code Execution) على مُشغّل إجراءات GitHub (GitHub Actions runner)، وسرقة البيانات السرية المتاحة للعملية البرمجية (مثل مفاتيح واجهة برمجة التطبيقات والرموز المميزة Tokens) عند قيام مستخدم ذي صلاحيات عالية أو تشغيل تلقائي باستدعاء إجراء Claude في طلب السحب. تم إصلاح هذه المشكلة في الإصدار 1.0.74، الذي يعيد استعادة ملفات .claude/ و.mcp.json من فرع أساسية (base branch) لطلب السحب قبل أن يعمل سطر الأوامر CLI.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.