CVE-2026-39861

Name of the Vulnerable Software and Affected Versions Claude Code versões anteriores a 2.1.64

Description O sandbox nesta ferramenta de codificação agêntica não impedia que processos isolados criassem links simbólicos (symlinks) apontando para locais fora do espaço de trabalho. Quando o processo não isolado escrevia em um caminho dentro de tal symlink, ele seguia o link e escrevia no local de destino fora do espaço de trabalho sem a confirmação do usuário. Essa combinação permite a evasão do sandbox, possibilitando a escrita arbitrária de arquivos em locais fora do espaço de trabalho, o que poderia potencialmente levar à execução de código. A exploração requer a capacidade de introduzir conteúdo não confiável na janela de contexto para disparar a execução de código no sandbox via injeção de prompt.

Recommendations Atualize para a versão 2.1.64 ou posterior.