Claude Code CVE-2026-39861: シンボリックリンク経由によるサンドボックスエスケープ

Claude Code バージョン 2.1.64 未満（npm パッケージ @anthropic-ai/claude-code）には、CVE-2026-39861 として追跡されるサンドボックスエスケープの脆弱性が含まれています。問題は、サンドボックスがサンドボックス内のプロセスによるワークスペース外部を指すシンボリックリンクの作成を防止しなかったことです。後で Claude Code の非サンドボックスプロセスがそのようなシンボリックリンク内のパスに書き込む際、リンクを辿り、ユーザーの確認なしにターゲットの場所に書き込みました。

エクスプロイトの仕組み

この攻撃は、ワークスペース外部を指すシンボリックリンクを作成するサンドボックス化されたコマンドと、後にそのシンボリックリンクを経由するパスに書き込む非サンドボックスアプリの2つの要素を組み合わせます。どちらの要素単独ではワークスペース外に書き込めません。任意のファイル書き込みを可能にするのは組み合わせです。これを確実に悪用するには、Claude Code のコンテキストウィンドウ内の信頼できないコンテンツを介したプロンプトインジェクションにより、サンドボックス化されたコード実行をトリガーする必要があります。

影響とCVSSスコア

深刻度高に評価され、CVSS v4 基本スコアは 7.7 です。攻撃ベクトルはネットワーク、複雑さは低く、特権は不要で、受動的なユーザー操作が必要です。脆弱なシステムに対する機密性、完全性、可用性への影響はすべて高です。

影響を受けるバージョンと修正済みバージョン

• 影響を受けるバージョン: 2.1.64 未満のすべてのバージョン
• 修正済みバージョン: バージョン 2.1.64（2026年4月20日リリース）

標準の自動更新を利用しているユーザーは既に修正を受け取っています。手動で更新しているユーザーは、直ちに最新バージョンに更新してください。

推奨される対応

Claude Code を使用している場合、claude --version でバージョンを確認し、npm update @anthropic-ai/claude-code -g または該当するパッケージマネージャーを使用して 2.1.64 以上に更新してください。また、この脆弱性はプロンプトインジェクションを介してトリガーされる可能性があることに注意し、信頼できないコンテキストコンテンツを慎重に扱ってください。