CVE-2026-47751 in claude-code-actioninformazioni

Riassunto

di VulDB • 16/07/2026

Claude Code Action è un'azione GitHub di uso generale che esegue Claude Code sulle pull request e sugli issue di GitHub. Prima della versione 1.0.74, poiché l'azione effettuava il checkout dei rami head delle pull request controllati dall'attaccante, leggeva .mcp.json dalla directory di lavoro tramite le impostazioni predefinite (default setting sources) e abilitava incondizionatamente tutti i server MCP del progetto tramite enableAllProjectMcpServers, un attaccante che avesse aperto una pull request contenente un file .mcp.json dannoso avrebbe potuto ottenere l'esecuzione arbitraria di codice sul runner di GitHub Actions ed esfiltrare le secret disponibili per il workflow (come API keys e tokens) quando un utente privilegiato o un trigger automatico invocava l'azione Claude sulla pull request. Questo problema è stato risolto nella versione 1.0.74, che ripristina .claude/ e .mcp.json dal ramo base della pull request prima dell'esecuzione del CLI.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Responsabile

GitHub M

Prenotare

20/05/2026

Divulgazione

16/07/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00000

KEV

no

Attività

molto basso

Fonti

Interested in the pricing of exploits?

See the underground prices here!