CVE-2026-33068

Nome do Software Vulnerável e Versões Afetadas Claude Code versões anteriores a 2.1.53

Descrição O Claude Code é uma ferramenta de codificação agêntica que apresentou um problema de ordem de carregamento em seu carregador de configurações. O software resolvia o modo de permissão a partir de arquivos de configuração, como o .claude/settings.json controlado pelo repositório, antes de determinar se o diálogo de confirmação de confiança do espaço de trabalho deveria ser exibido. Um repositório malicioso poderia definir a variável permissions.defaultMode como bypassPermissions em seu arquivo .claude/settings.json commitado, fazendo com que o diálogo de confiança fosse silenciosamente ignorado na primeira abertura. Isso permite que um usuário seja colocado em um modo permissivo sem consentimento explícito, potencialmente permitindo que um repositório controlado por um invasor obtenha a execução de ferramentas, acesso ao sistema de arquivos e execução de comandos.

Recomendações Atualize para a versão 2.1.53 ou posterior. Como medida de mitigação temporária, revise o arquivo .claude/settings.json em repositórios desconhecidos para garantir que a variável permissions.defaultMode não esteja definida como bypassPermissions antes de abri-los.