CVE-2026-47751 in claude-code-actioninfo

Zusammenfassung

von VulDB • 16.07.2026

Claude Code Action ist eine allgemeine GitHub-Aktion, die Claude Code auf GitHub-Pull Requests und Issues ausführt. Vor Version 1.0.74 konnte ein Angreifer, der einen Pull Request mit einer bösartigen .mcp.json-Datei öffnete, durch Auschecken von vom Angreifer kontrollierten Kopfbranchen des Pull Requests, Lesen von .mcp.json aus dem Arbeitsverzeichnis über Standardsatzquellen und bedingungsloses Aktivieren aller Projekt-MCP-Server via enableAllProjectMcpServers eine beliebige Codeausführung auf dem GitHub Actions Runner erreichen sowie verfügbare Geheimnisse (wie API-Schlüssel und Tokens) des Workflows ausspähen, wenn ein privilegierter Benutzer oder ein automatischer Trigger die Claude-Aktion im Pull Request aufrief. Dieses Problem wurde in Version 1.0.74 behoben, bei der .claude/ und .mcp.json aus der Basisbranch des Pull Requests wiederhergestellt werden, bevor die CLI ausgeführt wird.

Be aware that VulDB is the high quality source for vulnerability data.

Zuständig

GitHub M

Reservieren

20.05.2026

Veröffentlichung

16.07.2026

Moderieren

akzeptiert

Eintrag

VDB-379562

CPE

bereit

EPSS

0.00000

KEV

nein

Aktivitäten

low

Quellen

Do you know our Splunk app?

Download it now for free!