CVE-2026-35022

Name of the Vulnerable Software and Affected Versions Anthropic Claude Code CLI and Claude Agent SDK (affected versions not specified)

Description Anthropic Claude Code CLI and Claude Agent SDK contêm uma questão de injeção de comandos do sistema operacional na execução do helper de autenticação. Os valores de configuração do helper são executados usando shell=true sem validação de entrada. Atacantes que podem influenciar as configurações de autenticação podem injetar metacaracteres de shell por meio de parâmetros como apiKeyHelper, awsAuthRefresh, awsCredentialExport e gcpAuthRefresh para executar comandos arbitrários com os privilégios do usuário ou do ambiente de automação. Isso pode levar ao roubo de credenciais e à exfiltração de variáveis de ambiente.

Recommendations At the moment, there is no information about a newer version that contains a fix for this vulnerability.