CVE-2026-35021

Name of the Vulnerable Software and Affected Versions Anthropic Claude Code CLI and Claude Agent SDK (affected versions not specified)

Description O Anthropic Claude Code CLI e o Claude Agent SDK contêm uma vulnerabilidade de injeção de comando de sistema na utilidade de invocação do editor de prompt. Atacantes podem executar comandos arbitrários criando caminhos de arquivo maliciosos contendo metacaracteres de shell, como $() ou expressões entre crases. Mesmo quando os caminhos de arquivo estão entre aspas duplas, a semântica do shell POSIX permite a substituição de comandos dentro dessas aspas, levando à execução arbitrária de comandos com os privilégios do usuário que executa o CLI. A vulnerabilidade está presente porque o caminho do arquivo é interpolado em comandos de shell executados via execSync.

Recommendations Atualmente, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.