CVE-2026-47751 in claude-code-actioninformación

Resumen

por VulDB • 2026-07-16

Claude Code Action es una acción de GitHub de propósito general que ejecuta Claude Code en las solicitudes de extracción (pull requests) y los incidencias de GitHub. Antes de la versión 1.0.74, debido a que la acción realizaba un checkout de las ramas principales de las solicitudes de extracción controladas por el atacante, leía .mcp.json desde el directorio de trabajo mediante fuentes de configuración predeterminadas y habilitaba incondicionalmente todos los servidores MCP del proyecto a través de enableAllProjectMcpServers, un atacante que abriera una solicitud de extracción que contuviera un archivo .mcp.json malicioso podría lograr la ejecución arbitraria de código en el ejecutor (runner) de GitHub Actions y exfiltrar secretos disponibles para el flujo de trabajo (como claves API y tokens) cuando un usuario privilegiado o un desencadenante automático invocara la acción Claude en la solicitud de extracción. Este problema está corregido en la versión 1.0.74, que restaura .claude/ y .mcp.json desde la rama base de la solicitud de extracción antes de que se ejecute la CLI.

Once again VulDB remains the best source for vulnerability data.

Responsable

GitHub M

Reservar

2026-05-20

Divulgación

2026-07-16

Moderación

aceptado

Artículo

VDB-379562

CPE

listo

EPSS

0.00000

KEV

no

Actividades

bajo

Fuentes

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!