Aviso de Seguridad de Código Claude: CVE-2026-33068 Omisión de Confianza del Espacio de Trabajo

Vulnerabilidad de Seguridad en Claude Code

Se ha emitido un aviso de seguridad para los usuarios de Claude Code sobre CVE-2026-33068, una vulnerabilidad con puntuación CVSS 7.7 (ALTA). El problema afecta a las versiones de Claude Code anteriores a la 2.1.53.

Detalles Técnicos

La vulnerabilidad permite que repositorios maliciosos omitan el cuadro de diálogo de confirmación de confianza del espacio de trabajo. Claude Code incluye una función legítima llamada bypassPermissions en .claude/settings.json que permite a los usuarios aprobar previamente operaciones específicas en espacios de trabajo confiables.

El error estaba en el orden de las operaciones: la configuración del .claude/settings.json del repositorio se cargaba antes de que se mostrara al usuario el cuadro de diálogo de confianza del espacio de trabajo. Esto significa que un repositorio clonado podría incluir un archivo de configuración que se otorgue permisos elevados antes de que el usuario tenga la oportunidad de revisarlo.

Matiz importante: bypassPermissions es una función documentada e intencional. La vulnerabilidad no está en la función en sí, sino en la secuencia de carga.

Qué Deben Hacer los Usuarios

• Ejecute claude --version para confirmar que está en la versión 2.1.53 o posterior
• Antes de abrir cualquier repositorio desconocido con Claude Code, verifique si contiene un archivo .claude/settings.json y revise su contenido
• Si ha estado trabajando con repositorios de fuentes no confiables en versiones anteriores, considere si se realizaron operaciones inesperadas

Solución

Anthropic solucionó esta vulnerabilidad en la versión 2.1.53 reordenando la secuencia de carga. El aviso completo con detalles técnicos está disponible en https://raxe.ai/labs/advisories/RAXE-2026-040.