Vulnerabilidad de Ejecucion Remota de Codigo en Claude Code Action

Se ha identificado una vulnerabilidad critica en claude-code-action que permite a atacantes ejecutar codigo arbitrario en runners de GitHub Actions mediante la manipulacion de archivos de configuracion MCP.

Mecanismo de Explotacion

La vulnerabilidad surge de la combinacion de tres factores tecnicos:

  1. Checkout de ramas PR controladas por atacantes: La accion procesa automaticamente el contenido de pull requests, incluyendo ramas creadas por usuarios potencialmente maliciosos

  2. Lectura de configuracion desde directorio de trabajo: El sistema lee archivos .mcp.json directamente desde el directorio de trabajo utilizando fuentes de configuracion por defecto

  3. Habilitacion incondicional de servidores MCP: La configuracion enableAllProjectMcpServers activa automaticamente todos los servidores MCP del proyecto sin validacion

Vector de Ataque

Un atacante puede explotar esta vulnerabilidad siguiendo estos pasos:

  1. Crear un pull request contra un repositorio que utilice claude-code-action
  2. Incluir un archivo .mcp.json malicioso en el PR
  3. Esperar a que un usuario privilegiado active la accion Claude en el PR o que se ejecute automaticamente
  4. Lograr ejecucion arbitraria de codigo en el runner de GitHub Actions

Impacto de Seguridad

La explotacion exitosa de esta vulnerabilidad puede resultar en:

  • Ejecucion remota de codigo: Control completo del entorno de ejecucion de GitHub Actions
  • Exfiltracion de secretos: Acceso a claves API, tokens y otras credenciales disponibles en el workflow
  • Compromiso de la cadena de suministro: Potencial para inyectar codigo malicioso en procesos de CI/CD

Condiciones de Explotacion

Para que la vulnerabilidad sea explotable se requiere:

  • Capacidad para abrir pull requests contra el repositorio objetivo
  • Uso de claude-code-action en el repositorio
  • Activacion de la accion por parte de un usuario privilegiado o trigger automatico

Mitigacion y Recomendaciones

Los usuarios que tengan versiones vulnerables fijadas de claude-code-action deben actualizar inmediatamente a la version mas reciente. Los usuarios que referencien anthropics/claude-code-action@v1, anthropics/claude-code-action@beta, anthropics/claude-code-action@main u otras etiquetas no fijadas ya habran recibido la correccion automaticamente.

Reconocimientos

Claude Code agradece a hackerone.com/reptou por reportar esta vulnerabilidad de manera responsable.