Aviso de Seguridad de Código Claude: CVE-2026-33068 Omisión de Confianza del Espacio de Trabajo

✍️ OpenClawRadar📅 Publicado: 20 de marzo de 2026🔗 Source
Aviso de Seguridad de Código Claude: CVE-2026-33068 Omisión de Confianza del Espacio de Trabajo
Ad

Vulnerabilidad de Seguridad en Claude Code

Se ha emitido un aviso de seguridad para los usuarios de Claude Code sobre CVE-2026-33068, una vulnerabilidad con puntuación CVSS 7.7 (ALTA). El problema afecta a las versiones de Claude Code anteriores a la 2.1.53.

Detalles Técnicos

La vulnerabilidad permite que repositorios maliciosos omitan el cuadro de diálogo de confirmación de confianza del espacio de trabajo. Claude Code incluye una función legítima llamada bypassPermissions en .claude/settings.json que permite a los usuarios aprobar previamente operaciones específicas en espacios de trabajo confiables.

El error estaba en el orden de las operaciones: la configuración del .claude/settings.json del repositorio se cargaba antes de que se mostrara al usuario el cuadro de diálogo de confianza del espacio de trabajo. Esto significa que un repositorio clonado podría incluir un archivo de configuración que se otorgue permisos elevados antes de que el usuario tenga la oportunidad de revisarlo.

Matiz importante: bypassPermissions es una función documentada e intencional. La vulnerabilidad no está en la función en sí, sino en la secuencia de carga.

Ad

Qué Deben Hacer los Usuarios

  • Ejecute claude --version para confirmar que está en la versión 2.1.53 o posterior
  • Antes de abrir cualquier repositorio desconocido con Claude Code, verifique si contiene un archivo .claude/settings.json y revise su contenido
  • Si ha estado trabajando con repositorios de fuentes no confiables en versiones anteriores, considere si se realizaron operaciones inesperadas

Solución

Anthropic solucionó esta vulnerabilidad en la versión 2.1.53 reordenando la secuencia de carga. El aviso completo con detalles técnicos está disponible en https://raxe.ai/labs/advisories/RAXE-2026-040.

📖 Read the full source: r/ClaudeAI

Ad

👀 Ver también

OpenClaw Security: La Línea Base Endurecida con la que Deberías Empezar
Seguridad

OpenClaw Security: La Línea Base Endurecida con la que Deberías Empezar

Auto-alojar OpenClaw no lo hace automáticamente seguro. Una publicación en Reddit detalla la configuración de referencia reforzada: Gateway solo local, aislamiento de DM por par, denegar grupos de herramientas runtime/fs/automatización, exec bloqueado y grupos con mención obligatoria.

OpenClawRadar
Análisis de Seguridad de la Extracción de Componentes de OpenClaw para Agentes de IA Personalizados
Seguridad

Análisis de Seguridad de la Extracción de Componentes de OpenClaw para Agentes de IA Personalizados

Un desarrollador analizó el código fuente de OpenClaw para determinar qué componentes pueden extraerse de manera segura para su uso en agentes de IA personalizados, evaluando cada uno mediante el marco Lethal Quartet. El análisis revela riesgos de seguridad significativos en componentes como Semantic Snapshots y BrowserClaw.

OpenClawRadar
Extensión de Claude Code para VS Code filtra el estado de selección entre archivos cerrados y nuevas sesiones
Seguridad

Extensión de Claude Code para VS Code filtra el estado de selección entre archivos cerrados y nuevas sesiones

Un error en la extensión de VS Code de Claude Code almacena en caché el estado de selección de archivos incluso después de cerrar el archivo, exponiendo datos sensibles (por ejemplo, claves de servicio de Supabase) a una nueva sesión de CLI. Pasos completos para reproducir y problema en GitHub #58886.

OpenClawRadar
Ataque a la cadena de suministro de NPM y PyPI afecta a TanStack, Mistral AI y más de 170 paquetes
Seguridad

Ataque a la cadena de suministro de NPM y PyPI afecta a TanStack, Mistral AI y más de 170 paquetes

Un ataque coordinado comprometió más de 170 paquetes npm y 2 paquetes PyPI, dirigidos a TanStack (42 paquetes), SDKs de Mistral AI, UiPath, OpenSearch y Guardrails AI. Las versiones maliciosas ejecutan un dropper que extrae credenciales y sondea metadatos en la nube.

OpenClawRadar