Vulnerabilidad GhostApproval en asistentes de código con IA: acceso remoto por enlaces simbólicos

Investigadores de Wiz descubrieron la vulnerabilidad GhostApproval, que afecta a seis asistentes de desarrollo con IA ampliamente utilizados, permitiendo a repositorios maliciosos eludir los controles de seguridad basados en humanos y lograr ejecución remota de código en máquinas de desarrolladores. La explotación aprovecha enlaces simbólicos (CWE-61) para escribir archivos sensibles como ~/.ssh/authorized_keys sin consentimiento explícito, facilitando acceso SSH persistente.

CVE y severidad

Fabricante Producto CVE Severidad Versión afectada Estado
Amazon Web Services Amazon Q Developer CVE-2026-12958 Alta Versiones anteriores a v1.69.0 Arreglada
Google Google Antigravity Crítica Versiones anteriores a v1.19.6 Arreglada (pendiente de CVE)
Cursor Cursor CVE-2026-50549 Crítica Versiones anteriores a v3.0 Arreglada
Anthropic Claude Code Disputada Versiones anteriores a v2.1.32 Modificada (advertencias agregadas)

Productos afectados

Los asistentes afectados incluyen Amazon Q Developer, Anthropic Claude Code, Augment, Cursor, Google Antigravity y Windsurf. La vulnerabilidad impacta principalmente en entornos Linux/Unix donde los enlaces simbólicos son comunes.

Solución

Actualizar a las versiones corregidas: Amazon Q Developer v1.69.0, Cursor v3.0, Google Antigravity v1.19.6, Anthropic Claude Code v2.1.32 (o superior). Augment y Windsurf no han proporcionado versiones corregidas en el momento de publicación.

Recomendaciones

Priorizar la actualización de los asistentes afectados durante el próximo ciclo de mantenimiento. Implementar políticas de revisión de repositorios externos antes de clonarlos y configurar alertas para cambios en archivos sensibles como ~/.ssh/authorized_keys. Linux: deshabilitar la resolución automática de enlaces simbólicos en directorios críticos mediante configuraciones de mount --bind o restrict_stat en /etc/fstab si es necesario.

Referencias