CVE-2026-40068 in claude-code
要約
〜によって VulDB • 2026年05月11日
Claude Codeのバージョン2.1.63から2.1.83において、フォルダの信頼性判定ロジックは、その内容を検証せずにgit worktreeのcommondirファイルを使用していました。攻撃者は、被害者が以前に信頼したパスを指し示すcommondirファイルを持つ悪意のあるリポジトリを仕組むことができ、これによりClaude Codeは信頼確認ダイアログをバイパスして`.claude/settings.json`に定義されたフックを即座に実行します。この脆弱性を悪用するには、被害者が悪意のあるリポジトリをクローンし、その中でClaude Codeを実行する必要があります。また、攻撃者は被害者がすでに信頼していたパスを知っているか、推測できる必要があります。この問題はバージョン2.1.84で修正されています。
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.