CVE-2026-47751 in claude-code-actionИнформация

Сводка

по VulDB • 16.07.2026

Claude Code Action — это универсальное действие GitHub (GitHub Action), которое запускает Claude Code при обработке запросов на слияние (pull requests) и задач в репозиториях GitHub. До версии 1.0.74 из-за того, что действие выполняло проверку атакующим контролируемых веток головных коммитов (head branches) запроса на слияние, считывало файл .mcp.json из рабочей директории через источники настроек по умолчанию и безоговорочно включало все серверы MCP проекта посредством параметра enableAllProjectMcpServers, злоумышленник, открывший запрос на слияние, содержащий вредоносный файл .mcp.json, мог выполнить произвольный код в среде выполнения GitHub Actions (GitHub Actions runner) и похитить секреты, доступные для рабочего процесса (например, ключи API и токены), когда привилегированный пользователь или автоматический триггер инициировал действие Claude Code в контексте запроса на слияние. Эта проблема исправлена в версии 1.0.74, которая восстанавливает содержимое директорий .claude/ и файла .mcp.json из базовой ветки (base branch) запроса на слияние перед запуском командной строки интерфейса (CLI).

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Ответственный

GitHub M

Резервировать

20.05.2026

Раскрытие

16.07.2026

Модерация

принято

Вход

VDB-379562

EPSS

0.00000

KEV

Нет

Деятельности

Низкий

Источники

Do you want to use VulDB in your project?

Use the official API to access entries easily!