Se ha descubierto una vulnerabilidad crítica de ejecución remota de código (RCE) en la herramienta Claude Code CLI de Anthropic, que permite a atacantes ejecutar comandos arbitrarios en el equipo de la víctima mediante deeplinks especialmente diseñados. Esta falla, originada en un parser ingenuo de argumentos en línea de comandos, afectaba el manejador de enlaces claude-cli://, permitiendo inyección de comandos sin interacción adicional más allá de hacer clic en el enlace malicioso. La vulnerabilidad fue corregida en la versión 2.1.118.
Productos afectados
| Fabricante | Producto | Componentes | Versiones afectadas | Plataformas/SO |
|---|---|---|---|---|
| Anthropic | Claude Code CLI | Manejador deeplink, parser de argumentos CLI | Antes de la versión 2.1.118 | Multiplataforma |
Solución
Actualizar a Claude Code versión 2.1.118 o superior.
Recomendaciones
Se recomienda aplicar la actualización lo antes posible para eliminar el riesgo de ejecución remota. Tras actualizar, validar que el parser de argumentos distinga correctamente entre flags y valores asociados para mitigar riesgos similares por deeplinks maliciosos.