CVE-2026-35603 in claude-code
요약
\~에 의해 VulDB • 2026. 05. 11.
Claude Code는 에이전트 기반 코딩 도구입니다. Windows에서 2.1.75 이전 버전의 Claude Code는 디렉토리 소유권이나 접근 권한을 검증하지 않고 C:\ProgramData\ClaudeCode\managed-settings.json에서 시스템 전체 기본 구성 파일을 로드했습니다. ProgramData 디렉토리는 기본적으로 비관리자 사용자에게 쓰기 권한이 부여되어 있으며, ClaudeCode 하위 디렉토리는 미리 생성되거나 접근이 제한되지 않았기 때문에, 권한이 낮은 로컬 사용자는 이 디렉토리를 생성하고 악성 구성 파일을 배치할 수 있습니다. 이렇게 하면 같은 머신에서 Claude Code를 실행하는 모든 사용자에게 해당 악성 구성 파일이 자동으로 로드됩니다. 이를 악용하려면 공유 다중 사용자 Windows 시스템과 악성 구성 파일이 배치된 후 Claude Code를 실행하는 피해자 사용자가 필요합니다. 이 문제는 버전 2.1.75에서 수정되었습니다.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.