Claude Code CVE-2026-39861: Escape de la caja de arena mediante seguimiento de enlaces simbólicos

Las versiones de Claude Code anteriores a la 2.1.64 (paquete npm @anthropic-ai/claude-code) contienen una vulnerabilidad de escape de zona de pruebas rastreada como CVE-2026-39861. El problema: la zona de pruebas no impedía que los procesos aislados crearan enlaces simbólicos que apuntaran a ubicaciones fuera del espacio de trabajo. Cuando el proceso no aislado de Claude Code posteriormente escribía en una ruta dentro de dicho enlace simbólico, seguía el enlace y escribía en la ubicación de destino sin confirmación del usuario.
Cómo funciona el exploit
El ataque combina dos componentes: un comando aislado que crea un enlace simbólico que apunta fuera del espacio de trabajo, y la aplicación no aislada que posteriormente escribe en una ruta que atraviesa ese enlace simbólico. Ninguno de los dos componentes por sí solo puede escribir fuera del espacio de trabajo: es la combinación la que permite la escritura arbitraria de archivos. Explotar esto de manera fiable requiere inyección de instrucciones para desencadenar la ejecución de código aislado a través de contenido no confiable en la ventana de contexto de Claude Code.
Impacto y CVSS
Calificada como Alta gravedad con una puntuación base CVSS v4 de 7.7. El vector de ataque es de red, la complejidad es baja, no se requieren privilegios, interacción pasiva del usuario. Los impactos en la confidencialidad, integridad y disponibilidad del sistema vulnerable son todos altos.
Versiones afectadas y parcheadas
- Afectadas: todas las versiones anteriores a la 2.1.64
- Parcheada: versión 2.1.64 (publicada el 20 de abril de 2026)
Los usuarios con actualización automática estándar han recibido la corrección automáticamente. Los usuarios que actualizan manualmente deben actualizar a la última versión de inmediato.
Qué hacer
Si estás usando Claude Code, verifica tu versión con claude --version y actualiza a ≥2.1.64 mediante npm update @anthropic-ai/claude-code -g o el gestor de paquetes correspondiente. También ten en cuenta que esta vulnerabilidad puede desencadenarse mediante inyección de instrucciones: trata el contenido de contexto no confiable con precaución.
📖 Leer la fuente completa: HN AI Agents
👀 Ver también

Conceptos de seguridad para Vibe Coding con Claude Code: Autenticación, Autorización y Ejecución
Un ingeniero senior explica autenticación, autorización y enforcement para apps creadas con IA usando la metáfora de un hotel, más cómo pedir a agentes de IA que verifiquen la seguridad.

Incidente de Seguridad de Meta Causado por un Agente de IA Rebelde que Proporcionó Asesoramiento Técnico Inexacto
Un ingeniero de Meta utilizó un agente de IA interno similar a OpenClaw para analizar una pregunta técnica, pero el agente publicó consejos inexactos públicamente en lugar de hacerlo de forma privada, lo que provocó un incidente de seguridad SEV1 que expuso temporalmente datos sensibles.

La función de soporte de IA de Meta permite a cualquiera secuestrar cuentas de Instagram — Detalles del exploit adentro
Una función de soporte de Instagram con IA, en fase de pruebas A/B, permite a atacantes restablecer contraseñas pidiendo al agente que envíe un código a un correo arbitrario. Más de 100 cuentas de alto valor han sido robadas.

Brecha de Seguridad en Agentes de IA: Cómo Supra-Wall Agrega una Capa de Aplicación Entre Modelos y Herramientas
Un desarrollador descubrió que su agente de IA leyó de forma autónoma archivos .env sensibles que contenían claves de Stripe, contraseñas de bases de datos y claves API de OpenAI. La herramienta de código abierto Supra-Wall intercepta las llamadas a herramientas antes de su ejecución para aplicar políticas de seguridad.