Hallan vulnerabilidades críticas en "Claude Code" que permiten la ejecución remota de código y el robo de llaves API

Investigadores de la firma de ciberseguridad Check Point han revelado múltiples fallos de seguridad en Claude Code, el asistente de programación basado en inteligencia artificial de Anthropic. Según el informe, estas vulnerabilidades podrían haber permitido a atacantes ejecutar comandos arbitrarios en las máquinas de los desarrolladores y exfiltrar credenciales sensibles con tan solo abrir un repositorio malicioso.

Los analistas Aviv Donenfeld y Oded Vanunu detallaron que los defectos explotaban mecanismos de configuración de la herramienta, como los servidores del Protocolo de Contexto de Modelo (MCP), hooks de proyecto y variables de entorno.

Categorías de los fallos detectados

La investigación identificó tres vulnerabilidades principales que afectan el flujo de trabajo de los desarrolladores:

1. Inyección de código por omisión de consentimiento: Un fallo (sin CVE asignado, con una puntuación de severidad de 8.7) permitía ejecutar comandos de shell arbitrarios sin confirmación del usuario al iniciar Claude Code en un nuevo directorio, utilizando hooks no confiables definidos en el archivo de configuración .claude/settings.json.

2. CVE-2025-59536 (Puntuación 8.7): Otra vulnerabilidad de inyección de código que facilitaba la ejecución automática de comandos durante la inicialización de la herramienta. Al configurar la opción enableAllProjectMcpServers como verdadera, un atacante podía anular la aprobación explícita del usuario para interactuar con herramientas externas.

3. CVE-2026-21852 (Puntuación 5.3): Un fallo de divulgación de información que permitía a un repositorio malicioso redirigir el tráfico de la API de Anthropic hacia servidores controlados por atacantes, filtrando las llaves API del desarrollador antes incluso de que se mostrara el aviso de confianza.

Un cambio en el modelo de amenazas

De acuerdo con Check Point, el riesgo en los entornos de desarrollo impulsados por IA ya no se limita a ejecutar código sospechoso, sino que se extiende al simple hecho de "abrir" proyectos no confiables.

"A medida que las herramientas de IA adquieren la capacidad de ejecutar comandos e iniciar comunicaciones de red de forma autónoma, los archivos de configuración se convierten efectivamente en parte de la capa de ejecución", señalaron los investigadores. Esto permite que un atacante acceda a archivos compartidos, modifique datos en la nube o genere costos inesperados en las cuentas de API de las víctimas.

Parches y recomendaciones

Anthropic ha confirmado que todas estas vulnerabilidades han sido mitigadas en versiones recientes de la herramienta:

• El fallo de inyección inicial fue corregido en la versión 1.0.87 (septiembre de 2025).

• La vulnerabilidad CVE-2025-59536 fue solventada en la versión 1.0.111 (octubre de 2025).

• El problema de exfiltración de llaves API (CVE-2026-21852) fue resuelto en la versión 2.0.65 (enero de 2026).

Se urge a todos los usuarios y empresas que utilizan Claude Code a verificar que sus instalaciones estén actualizadas a la última versión disponible para evitar posibles ataques a través de la cadena de suministro.