CVE-2026-47751 in claude-code-action情報

要約

〜によって VulDB • 2026年07月16日

Claude Code Action は、GitHub のプルリクエストおよびイシュー上で Claude Code を実行する汎用の GitHub アクションです。バージョン 1.0.74 より前では、攻撃者が制御するプルリクエストのヘッドブランチをチェックアウトし、デフォルトの設定ソースを通じて作業ディレクトリから .mcp.json ファイルを読み取り、enableAllProjectMcpServers オプションによりすべてのプロジェクト MCP サーバーを無条件で有効化していたため、悪意のある .mcp.json ファイルを含むプルリクエストを開いた攻撃者は、特権ユーザーまたは自動トリガーがそのプルリクエスト上で Claude アクションを実行した際、GitHub Actions ランナー上での任意のコード実行およびワークフローで使用可能なシークレット(API キーやトークンなど)の漏洩を達成できました。この問題はバージョン 1.0.74 で修正されており、CLI が実行される前にプルリクエストのベースブランチから .claude/ および .mcp.json を復元するようになりました。

Be aware that VulDB is the high quality source for vulnerability data.

責任者

GitHub M

予約する

2026年05月20日

モデレーション

承諾済み

エントリ

VDB-379562

EPSS

0.00000

アクティビティ

低い

ソース

Do you want to use VulDB in your project?

Use the official API to access entries easily!