CVE-2026-44467

Nome do Software Vulnerável e Versões Afetadas Claude Desktop versões 1.2581.0 até 1.4303.0

Descrição O recurso de desenvolvimento remoto SSH não compara a chave de host apresentada pelo servidor com a chave armazenada, verificando apenas se o nome do host existe no arquivo ~/.ssh/known hosts. Isso permite que um invasor posicionado na rede apresente uma chave de host SSH arbitrária e tenha a conexão aceita silenciosamente, possibilitando um ataque de man-in-the-middle em sessões de desenvolvimento remoto. Um ataque de man-in-the-middle ocorre quando um invasor retransmite e possivelmente altera secretamente as comunicações entre duas partes que acreditam estar se comunicando diretamente. A exploração requer que o invasor seja capaz de interceptar o tráfego SSH e que o nome do host de destino já possua uma entrada no arquivo known hosts da vítima.

Recomendações Atualize para a versão 1.4304.0.