CVE-2026-33068 in claude-codeinformation

Résumé

par VulDB • 09/05/2026

Claude Code est un outil de codage de type agent. Les versions antérieures à la 2.1.53 résolvait le mode d'autorisation à partir des fichiers de configuration, y compris le fichier .claude/settings.json contrôlé par le dépôt, avant de déterminer s'il fallait afficher la boîte de dialogue de confirmation de confiance de l'espace de travail. Un dépôt malveillant pouvait définir permissions.defaultMode sur bypassPermissions dans son fichier .claude/settings.json commité, ce qui entraînait le contournement silencieux de la boîte de dialogue de confiance lors de la première ouverture. Cela permettait de placer un utilisateur dans un mode permissif sans qu'il ne voie l'invite de confirmation de confiance, facilitant ainsi pour un dépôt contrôlé par un attaquant l'obtention de l'exécution de l'outil sans le consentement explicite de l'utilisateur. Ce problème a été corrigé dans la version 2.1.53.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsable

GitHub M

Réserver

17/03/2026

Divulgation

20/03/2026

Modérer

accepté

Entrée

VDB-352034

CPE

prêt

EPSS

0.00203

KEV

non

Activités

très faible

Secteur

Government, Energy, ...

Sources

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-33068
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-33068
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-33068/

PrécédentAperçuSuivant

Want to know what is going to be exploited?

We predict KEV entries!