CVE-2026-47751 in claude-code-actionالمعلومات

الملخص

بحسب VulDB • 16/07/2026

تُعد "Claude Code Action" إجراءً عاماً (GitHub Action) يعمل على تشغيل Claude Code في طلبات السحب (Pull Requests) والمشكلات (Issues) الخاصة بـ GitHub. قبل الإصدار 1.0.74، نظراً لأن هذا الإجراء كان يقوم بفحص فروع رؤوس طلبات السحب التي يتحكم فيها المهاجم، وقراءة ملف .mcp.json من دليل العمل عبر مصادر الإعدادات الافتراضية، وتمكين جميع خوادم MCP الخاصة بالمشروع بشكل غير مشروط عبر خيار enableAllProjectMcpServers، فإن مهاجماً قام بفتح طلب سحب يحتوي على ملف .mcp.json ضار كان بإمكانه تحقيق تنفيذ عشوائي للكود (Arbitrary Code Execution) على مُشغّل إجراءات GitHub (GitHub Actions runner)، وسرقة البيانات السرية المتاحة للعملية البرمجية (مثل مفاتيح واجهة برمجة التطبيقات والرموز المميزة Tokens) عند قيام مستخدم ذي صلاحيات عالية أو تشغيل تلقائي باستدعاء إجراء Claude في طلب السحب. تم إصلاح هذه المشكلة في الإصدار 1.0.74، الذي يعيد استعادة ملفات .claude/ و.mcp.json من فرع أساسية (base branch) لطلب السحب قبل أن يعمل سطر الأوامر CLI.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

مسؤول

GitHub M

حجز

20/05/2026

إفشاء

16/07/2026

الاعتدال

تمت الموافقة

إدخال

VDB-379562

EPSS

0.00000

KEV

لا

النشاطات

منخفض

القطاع

Energy, Police, ...

المصادر

Want to stay up to date on a daily basis?

Enable the mail alert feature now!