CVE-2026-47751 in claude-code-action정보

요약

\~에 의해 VulDB • 2026. 07. 16.

Claude Code Action은 GitHub 풀 리퀘스트 및 이슈에서 Claude Code를 실행하는 범용 GitHub 액션입니다. 버전 1.0.74 이전에서는 공격자가 제어할 수 있는 풀 리퀘스트 헤드 브랜치를 체크아웃하고, 기본 설정 소스를 통해 작업 디렉토리에서 .mcp.json 파일을 읽으며, enableAllProjectMcpServers 옵션을 사용하여 모든 프로젝트 MCP 서버를 무조건적으로 활성화했기 때문에, 악성 .mcp.json 파일이 포함된 풀 리퀘스트를 제출한 공격자는 GitHub Actions 러너에서 임의 코드 실행(Arbitrary Code Execution)을 수행하고 워크플로우가 접근 가능한 비밀 정보(API 키 및 토큰 등)를 유출할 수 있었습니다. 이는 권한 있는 사용자나 자동 트리거가 해당 풀 리퀘스트에 대해 Claude 액션을 호출하는 경우에 발생했습니다. 이 문제는 버전 1.0.74에서 수정되었으며, CLI 실행 전에 풀 리퀘스트의 베이스 브랜치로부터 .claude/ 및 .mcp.json 파일을 복원합니다.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

책임이 있는

GitHub M

예약하다

2026. 05. 20.

모더레이션

수락

항목

VDB-379562

EPSS

0.00000

활동

낮음

출처

Might our Artificial Intelligence support you?

Check our Alexa App!