Claude Code is an agentic coding tool. Prior to version 1.0.111, Claude Code contained insufficient URL validation in its trusted domain verification mechanism for WebFetch requests. The application used a startsWith() function to validate trusted domains (e.g., docs.python.org, modelcontextprotocol.io), this could have enabled attackers to register domains like modelcontextprotocol.io.example.com that would pass validation. This could enable automatic requests to attacker-controlled domains without user consent, potentially leading to data exfiltration. This issue has been patched in version 1.0.111.
Claude Code versions prior to 1.0.111 contain insufficient URL validation in trusted domain verification, allowing attackers to register lookalike domains that bypass security checks. This vulnerability could enable unauthorized data exfiltration through automatic requests to attacker-controlled domains without user consent.
يستخدم Claude Code دالة startsWith() للتحقق من النطاقات الموثوقة، مما يسمح بتسجيل نطاقات مشابهة مثل modelcontextprotocol.io.example.com التي تتجاوز التحقق. يمكن للمهاجمين استغلال هذا الضعف لتوجيه طلبات تلقائية إلى خوادمهم واستخراج بيانات حساسة دون موافقة المستخدم.
إصدارات Claude Code السابقة للإصدار 1.0.111 تحتوي على تحقق غير كافٍ من صحة عناوين URL في آلية التحقق من النطاقات الموثوقة. يمكن للمهاجمين تسجيل نطاقات مشابهة تتجاوز فحوصات الأمان وتمكين طلبات غير مصرح بها لاستخراج البيانات.
Upgrade Claude Code to version 1.0.111 or later immediately. Implement strict URL validation using exact domain matching instead of startsWith() function. Review and audit all WebFetch requests in logs for suspicious domain patterns. Disable Claude Code if immediate patching is not possible.
قم بترقية Claude Code إلى الإصدار 1.0.111 أو أحدث فوراً. طبق التحقق الصارم من صحة عناوين URL باستخدام مطابقة النطاق الدقيقة بدلاً من دالة startsWith(). راجع وتدقق جميع طلبات WebFetch في السجلات للبحث عن أنماط نطاقات مريبة. عطل Claude Code إذا لم يكن من الممكن تطبيق التصحيح فوراً.