CVE-2026-40068

Nome do Software Vulnerável e Versões Afetadas Claude Code versões 2.1.63 through 2.1.83

Descrição A lógica de determinação de confiança de pasta não valida o conteúdo do arquivo commondir do git worktree. Um invasor pode criar um repositório malicioso com um arquivo commondir apontando para um caminho previamente confiado pela vítima. Isso permite que o invasor ignore o diálogo de confirmação de confiança e execute hooks definidos em .claude/settings.json. A exploração bem-sucedida requer que a vítima clone o repositório malicioso, execute o Claude Code nele e que o invasor conheça ou adivinhe um caminho confiado no sistema da vítima.

Recomendações Atualize para a versão 2.1.84.