Claude Code: Vulnerabilidad permite ejecución de código vía

Descripción de la Vulnerabilidad

Claude Code presenta una vulnerabilidad crítica en su mecanismo de validación de confianza de repositorios. La aplicación utiliza el archivo commondir de git worktree para determinar la confianza de carpetas, pero no valida adecuadamente el contenido de este archivo.

Mecanismo de Explotación

Un atacante puede crear un repositorio malicioso con un archivo commondir que apunte a una ruta previamente confiada por la víctima. Esto permite bypass completo del diálogo de confianza y ejecuta inmediatamente hooks maliciosos definidos en .claude/settings.json. La explotación requiere que la víctima clone el repositorio malicioso y ejecute Claude Code dentro del mismo, además de que el atacante conozca o adivine una ruta ya confiada.

Impacto y Mitigación

Esta vulnerabilidad permite ejecución de código arbitrario sin intervención del usuario una vez bypasseado el sistema de confianza. Los usuarios con actualizaciones automáticas ya han recibido la corrección. Se recomienda encarecidamente a usuarios con actualizaciones manuales actualizar a la versión más reciente inmediatamente.