CVE-2026-47751 in claude-code-actionthông tin

Tóm tắt

Bởi VulDB • 16/07/2026

Claude Code Action là một GitHub action đa năng chạy Claude Code trên các pull request và issues của GitHub. Trước phiên bản 1.0.74, do hành động này kiểm tra (checkout) các nhánh đầu của pull request do kẻ tấn công kiểm soát, đọc tệp .mcp.json từ thư mục làm việc thông qua các nguồn cấu hình mặc định, và kích hoạt không điều kiện tất cả các máy chủ MCP dự án bằng cách sử dụng enableAllProjectMcpServers, một kẻ tấn công có thể mở một pull request chứa tệp .mcp.json độc hại để thực thi mã tùy ý trên trình chạy GitHub Actions (GitHub Actions runner) và đánh cắp các bí mật được cung cấp cho quy trình làm việc (chẳng hạn như khóa API và token) khi người dùng có đặc quyền hoặc kích hoạt tự động gọi Claude action trên pull request. Vấn đề này đã được khắc phục trong phiên bản 1.0.74, bằng cách khôi phục .claude/ và .mcp.json từ nhánh cơ sở của pull request trước khi CLI chạy.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

chịu trách nhiệm

GitHub M

Đặt trước

20/05/2026

Tiết lộ

16/07/2026

Kiểm duyệt

được chấp nhận

EPSS

0.00000

KEV

không

Các hoạt động

thấp

Nguồn

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!