CVE-2026-35020

Name of the Vulnerable Software and Affected Versions Anthropic Claude Code CLI and Claude Agent SDK (affected versions not specified)

Description Anthropic Claude Code CLI and Claude Agent SDK contêm uma questão de injeção de comandos do sistema operacional no auxiliar de pesquisa de comandos e no iniciador de terminal de deep-link. Atacantes locais podem executar comandos arbitrários manipulando a variável de ambiente TERMINAL. A injeção de metacaracteres de shell na variável TERMINAL permite a construção e execução de comandos shell com shell=true via /bin/sh. Isso pode ser acionado durante a execução normal da CLI e através do manipulador de deep-link, resultando na execução arbitrária de comandos com os privilégios do usuário que executa a CLI.

Recommendations At the moment, there is no information about a newer version that contains a fix for this vulnerability.