Aviso de Segurança do Código Claude: CVE-2026-33068 Bypass de Confiança do Workspace

Vulnerabilidade de Segurança no Claude Code

Um aviso de segurança foi emitido para usuários do Claude Code referente ao CVE-2026-33068, uma vulnerabilidade com pontuação CVSS 7.7 (ALTA). O problema afeta versões do Claude Code anteriores à 2.1.53.

Detalhes Técnicos

A vulnerabilidade permite que repositórios maliciosos contornem a caixa de diálogo de confirmação de confiança do espaço de trabalho. O Claude Code inclui um recurso legítimo chamado bypassPermissions em .claude/settings.json que permite aos usuários pré-aprovar operações específicas em espaços de trabalho confiáveis.

O bug estava na ordem das operações: as configurações do .claude/settings.json do repositório eram carregadas antes que a caixa de diálogo de confiança do espaço de trabalho fosse mostrada ao usuário. Isso significa que um repositório clonado poderia incluir um arquivo de configurações que concede a si mesmo permissões elevadas antes que o usuário tenha a chance de revisá-lo.

Nuance importante: bypassPermissions é um recurso documentado e intencional. A vulnerabilidade não está no recurso em si, mas na sequência de carregamento.

O que os Usuários Devem Fazer

• Execute claude --version para confirmar que você está na versão 2.1.53 ou posterior
• Antes de abrir qualquer repositório desconhecido com o Claude Code, verifique se ele contém um arquivo .claude/settings.json e revise seu conteúdo
• Se você esteve trabalhando com repositórios de fontes não confiáveis em versões anteriores, considere se alguma operação inesperada foi realizada

Correção

A Anthropic corrigiu esta vulnerabilidade na versão 2.1.53 reordenando a sequência de carregamento. O aviso completo com detalhes técnicos está disponível em https://raxe.ai/labs/advisories/RAXE-2026-040.