CVE-2026-35603 in claude-code信息

摘要

由 VulDB • 2026-05-10

Claude Code 是一款代理式编码工具。在 Windows 系统上，2.1.75 之前的版本中，Claude Code 会从 `C:\ProgramData\ClaudeCode\managed-settings.json` 加载系统范围的默认配置，但未验证目录所有权或访问权限。由于 `ProgramData` 目录默认对非管理员用户可写，且 `ClaudeCode` 子目录未预先创建或限制访问权限，低权限本地用户可以创建该目录并放置恶意配置文件，该文件会被同一台机器上启动 Claude Code 的任何用户自动加载。利用此漏洞需要共享的多用户 Windows 系统，并且受害用户需在恶意配置文件放置后启动 Claude Code。此问题已在 2.1.75 版本中修复。

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

负责

GitHub M

预定

2026-04-03

披露

2026-04-18

管理

已接受

条目

VDB-358133

CPE

准备好

CWE

CWE-426 (已确认)

CVSS

7.0 (VulDB)

EPSS

0.00012

KEV

否

活动

非常低

部门

Insurance, Energy, ...

来源

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-35603
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-35603
CVE Details	https://www.cvedetails.com/cve/CVE-2026-35603/

◂ 上一步一览下一步 ▸

Do you need the next level of professionalism?

Upgrade your account now!