Anthropic Claude Code CLI and Claude Agent SDK contain an OS command injection vulnerability in the prompt editor invocation utility that allows attackers to execute arbitrary commands by crafting malicious file paths. Attackers can inject shell metacharacters such as $() or backtick expressions into file paths that are interpolated into shell commands executed via execSync. Although the file path is wrapped in double quotes, POSIX shell semantics (POSIX §2.2.3) do not prevent command substitution within double quotes, allowing injected expressions to be evaluated and resulting in arbitrary command execution with the privileges of the user running the CLI.
Anthropic Claude Code CLI and Claude Agent SDK contain an OS command injection vulnerability in the prompt editor invocation utility that allows arbitrary command execution through malicious file paths. Attackers can inject shell metacharacters into file paths that bypass double-quote protections due to POSIX shell command substitution semantics.
تحتوي أداة استدعاء محرر الموجهات في Anthropic Claude على ثغرة حقن أوامر تسمح بتنفيذ أوامر تعسفية. يمكن للمهاجمين استخدام أحرف metacharacters مثل $() والتعبيرات backtick في مسارات الملفات لتجاوز الحماية. الثغرة تؤثر على أي مستخدم يقوم بتشغيل CLI مع ملفات غير موثوقة.
مجموعة أدوات Anthropic Claude Code CLI و Claude Agent SDK تحتوي على ثغرة حقن أوامر نظام التشغيل في أداة استدعاء محرر الموجهات. يمكن للمهاجمين تنفيذ أوامر تعسفية من خلال مسارات ملفات ضارة تتجاوز حماية علامات الاقتباس المزدوجة.
Update Anthropic Claude Code CLI and Claude Agent SDK to the latest patched version immediately. Implement input validation and sanitization for all file paths before shell execution. Use parameterized command execution methods instead of string interpolation with execSync. Apply principle of least privilege to CLI user accounts. Monitor for suspicious file path patterns in logs.
قم بتحديث Anthropic Claude Code CLI و Claude Agent SDK إلى أحدث إصدار مصحح فوراً. قم بتطبيق التحقق من صحة المدخلات وتنظيف جميع مسارات الملفات قبل تنفيذ الأوامر. استخدم طرق تنفيذ الأوامر المعاملة بدلاً من الاستيفاء النصي مع execSync. طبق مبدأ الامتيازات الأقل على حسابات مستخدمي CLI. راقب أنماط مسارات الملفات المريبة في السجلات.