Claude Code CVE-2026-39861: Escape de Sandbox via Symlink Following

✍️ OpenClawRadar📅 Publicado: May 8, 2026🔗 Source
Claude Code CVE-2026-39861: Escape de Sandbox via Symlink Following
Ad

Versões do Claude Code anteriores a 2.1.64 (pacote npm @anthropic-ai/claude-code) contêm uma vulnerabilidade de escape do sandbox rastreada como CVE-2026-39861. O problema: o sandbox não impedia que processos no sandbox criassem symlinks apontando para locais fora do workspace. Quando o processo não isolado do Claude Code posteriormente escrevia em um caminho dentro de tal symlink, ele seguia o link e escrevia no local de destino sem confirmação do usuário.

Como o exploit funciona

O ataque combina dois componentes: um comando no sandbox que cria um symlink apontando para fora do workspace, e o aplicativo não isolado subsequentemente escrevendo em um caminho que atravessa esse symlink. Nenhum dos componentes sozinho consegue escrever fora do workspace — é a combinação que permite escrita arbitrária de arquivos. Explorar isso de forma confiável requer injeção de prompt para acionar a execução de código no sandbox por meio de conteúdo não confiável na janela de contexto do Claude Code.

Ad

Impacto e CVSS

Classificada como Alta gravidade com pontuação base CVSS v4 de 7.7. O vetor de ataque é rede, a complexidade é baixa, nenhum privilégio necessário, interação passiva do usuário. Os impactos na confidencialidade, integridade e disponibilidade do sistema vulnerável são todos altos.

Versões afetadas e corrigidas

  • Afetadas: todas as versões anteriores a 2.1.64
  • Corrigida: versão 2.1.64 (lançada em 20 de abril de 2026)

Usuários com atualização automática padrão já receberam a correção automaticamente. Usuários que atualizam manualmente devem atualizar para a versão mais recente imediatamente.

O que fazer

Se você estiver usando o Claude Code, verifique sua versão com claude --version e atualize para ≥2.1.64 via npm update @anthropic-ai/claude-code -g ou o gerenciador de pacotes relevante. Esteja ciente também de que essa vulnerabilidade pode ser acionada por injeção de prompt — trate conteúdo de contexto não confiável com cuidado.

📖 Leia a fonte original: HN AI Agents

Ad

👀 See Also