Claude Code CVE-2026-39861: Escape de Sandbox via Symlink Following

✍️ OpenClawRadar📅 Publicado: May 8, 2026🔗 Source
Claude Code CVE-2026-39861: Escape de Sandbox via Symlink Following
Ad

Versões do Claude Code anteriores a 2.1.64 (pacote npm @anthropic-ai/claude-code) contêm uma vulnerabilidade de escape do sandbox rastreada como CVE-2026-39861. O problema: o sandbox não impedia que processos no sandbox criassem symlinks apontando para locais fora do workspace. Quando o processo não isolado do Claude Code posteriormente escrevia em um caminho dentro de tal symlink, ele seguia o link e escrevia no local de destino sem confirmação do usuário.

Como o exploit funciona

O ataque combina dois componentes: um comando no sandbox que cria um symlink apontando para fora do workspace, e o aplicativo não isolado subsequentemente escrevendo em um caminho que atravessa esse symlink. Nenhum dos componentes sozinho consegue escrever fora do workspace — é a combinação que permite escrita arbitrária de arquivos. Explorar isso de forma confiável requer injeção de prompt para acionar a execução de código no sandbox por meio de conteúdo não confiável na janela de contexto do Claude Code.

Ad

Impacto e CVSS

Classificada como Alta gravidade com pontuação base CVSS v4 de 7.7. O vetor de ataque é rede, a complexidade é baixa, nenhum privilégio necessário, interação passiva do usuário. Os impactos na confidencialidade, integridade e disponibilidade do sistema vulnerável são todos altos.

Versões afetadas e corrigidas

  • Afetadas: todas as versões anteriores a 2.1.64
  • Corrigida: versão 2.1.64 (lançada em 20 de abril de 2026)

Usuários com atualização automática padrão já receberam a correção automaticamente. Usuários que atualizam manualmente devem atualizar para a versão mais recente imediatamente.

O que fazer

Se você estiver usando o Claude Code, verifique sua versão com claude --version e atualize para ≥2.1.64 via npm update @anthropic-ai/claude-code -g ou o gerenciador de pacotes relevante. Esteja ciente também de que essa vulnerabilidade pode ser acionada por injeção de prompt — trate conteúdo de contexto não confiável com cuidado.

📖 Leia a fonte original: HN AI Agents

Ad

👀 See Also

Sunder: Um Firewall de Privacidade Local Baseado em Rust para LLMs
Security

Sunder: Um Firewall de Privacidade Local Baseado em Rust para LLMs

Sunder é uma extensão do Chrome que atua como um firewall de privacidade local para chats de IA, construída usando Rust e WebAssembly, garantindo que dados sensíveis nunca saiam do seu navegador.

OpenClawRadar
Violação de Segurança da OpenClaw: 42.000 Instâncias Expostas
Security

Violação de Segurança da OpenClaw: 42.000 Instâncias Expostas

A OpenClaw sofreu uma falha de segurança significativa, expondo 42.000 instâncias com 341 habilidades maliciosas. A resposta rápida envolveu a criação do AgentVault, um proxy de segurança.

OpenClawRadar
ClawSecure: Plataforma de Segurança para o Ecossistema OpenClaw com Auditoria de 3 Camadas e Monitoramento em Tempo Real
Security

ClawSecure: Plataforma de Segurança para o Ecossistema OpenClaw com Auditoria de 3 Camadas e Monitoramento em Tempo Real

ClawSecure é uma plataforma de segurança dedicada para OpenClaw que realiza auditorias de segurança de 3 camadas, monitoramento em tempo real com rastreamento de hash SHA-256 a cada 12 horas e oferece cobertura completa OWASP ASI. Já auditou mais de 3.000 habilidades populares e é gratuito para usar sem necessidade de cadastro.

OpenClawRadar
ThornGuard: Um Gateway Proxy para Proteger Conexões de Servidores MCP contra Injeção de Prompt
Security

ThornGuard: Um Gateway Proxy para Proteger Conexões de Servidores MCP contra Injeção de Prompt

ThornGuard é um proxy que fica entre clientes MCP e servidores upstream, escaneando o tráfego em busca de padrões de injeção, removendo PII e registrando em um painel. Foi desenvolvido após testes revelarem vulnerabilidades em que servidores poderiam incorporar instruções ocultas em respostas de ferramentas.

OpenClawRadar