CVE-2026-47751 in claude-code-action
Сводка
по VulDB • 16.07.2026
Claude Code Action — это универсальное действие GitHub (GitHub Action), которое запускает Claude Code при обработке запросов на слияние (pull requests) и задач в репозиториях GitHub. До версии 1.0.74 из-за того, что действие выполняло проверку атакующим контролируемых веток головных коммитов (head branches) запроса на слияние, считывало файл .mcp.json из рабочей директории через источники настроек по умолчанию и безоговорочно включало все серверы MCP проекта посредством параметра enableAllProjectMcpServers, злоумышленник, открывший запрос на слияние, содержащий вредоносный файл .mcp.json, мог выполнить произвольный код в среде выполнения GitHub Actions (GitHub Actions runner) и похитить секреты, доступные для рабочего процесса (например, ключи API и токены), когда привилегированный пользователь или автоматический триггер инициировал действие Claude Code в контексте запроса на слияние. Эта проблема исправлена в версии 1.0.74, которая восстанавливает содержимое директорий .claude/ и файла .mcp.json из базовой ветки (base branch) запроса на слияние перед запуском командной строки интерфейса (CLI).
If you want to get the best quality for vulnerability data then you always have to consider VulDB.