Claude Code CVE-2026-39861: Escape de la caja de arena mediante seguimiento de enlaces simbólicos
Las versiones de Claude Code anteriores a la 2.1.64 (paquete npm @anthropic-ai/claude-code) contienen una vulnerabilidad de escape de zona de pruebas rastreada como CVE-2026-39861. El problema: la zona de pruebas no impedía que los procesos aislados crearan enlaces simbólicos que apuntaran a ubicaciones fuera del espacio de trabajo. Cuando el proceso no aislado de Claude Code posteriormente escribía en una ruta dentro de dicho enlace simbólico, seguía el enlace y escribía en la ubicación de destino sin confirmación del usuario.
Cómo funciona el exploit
El ataque combina dos componentes: un comando aislado que crea un enlace simbólico que apunta fuera del espacio de trabajo, y la aplicación no aislada que posteriormente escribe en una ruta que atraviesa ese enlace simbólico. Ninguno de los dos componentes por sí solo puede escribir fuera del espacio de trabajo: es la combinación la que permite la escritura arbitraria de archivos. Explotar esto de manera fiable requiere inyección de instrucciones para desencadenar la ejecución de código aislado a través de contenido no confiable en la ventana de contexto de Claude Code.
Impacto y CVSS
Calificada como Alta gravedad con una puntuación base CVSS v4 de 7.7. El vector de ataque es de red, la complejidad es baja, no se requieren privilegios, interacción pasiva del usuario. Los impactos en la confidencialidad, integridad y disponibilidad del sistema vulnerable son todos altos.
Versiones afectadas y parcheadas
- Afectadas: todas las versiones anteriores a la 2.1.64
- Parcheada: versión 2.1.64 (publicada el 20 de abril de 2026)
Los usuarios con actualización automática estándar han recibido la corrección automáticamente. Los usuarios que actualizan manualmente deben actualizar a la última versión de inmediato.
Qué hacer
Si estás usando Claude Code, verifica tu versión con claude --version y actualiza a ≥2.1.64 mediante npm update @anthropic-ai/claude-code -g o el gestor de paquetes correspondiente. También ten en cuenta que esta vulnerabilidad puede desencadenarse mediante inyección de instrucciones: trata el contenido de contexto no confiable con precaución.
📖 Leer la fuente completa: HN AI Agents
👀 Ver también
Alerta de Seguridad: Código Malicioso en LiteLLM Podría Robar Claves de API
Se ha identificado una vulnerabilidad de seguridad crítica en LiteLLM que podría exponer claves de API. Los usuarios de OpenClaw o nanobot podrían verse afectados y deberían consultar los problemas de GitHub vinculados en la fuente.
Parque de juegos de código abierto para agentes de inteligencia artificial de equipo rojo con exploits publicados.
Fabraix ha liberado un entorno en vivo de código abierto para probar las defensas de agentes de IA mediante desafíos adversarios. Cada desafío despliega un agente en vivo con herramientas reales y prompts de sistema publicados, con transcripciones de conversaciones ganadoras y registros de barreras de seguridad documentados públicamente.
Clawndom: Un Gancho de Seguridad para el Código de Claude que Bloquea Paquetes npm Vulnerables
Un desarrollador creó Clawndom, un gancho de código abierto para Claude Code que verifica los paquetes npm contra la base de datos de vulnerabilidades OSV.dev antes de la instalación, bloqueando paquetes vulnerables conocidos mientras mantiene la autonomía del agente.
McpVanguard Proxy Bloquea la Exfiltración de Datos de Habilidad OpenClaw
Un desarrollador creó McpVanguard, un proxy que se sitúa entre los agentes de IA y sus herramientas para bloquear cadenas de llamadas maliciosas como la exfiltración de datos, en respuesta al descubrimiento de Cisco de que las habilidades de OpenClaw realizaban robos de datos silenciosos. Utiliza coincidencia de patrones, puntuación de intención semántica y detección de cadenas de comportamiento.