Claude Code CVE-2026-39861: Побег из изолированной среды через симлинк

Версии Claude Code до 2.1.64 (npm-пакет @anthropic-ai/claude-code) содержат уязвимость обхода песочницы, отслеживаемую как CVE-2026-39861. Проблема: песочница не препятствовала созданию символических ссылок, указывающих на местоположения за пределами рабочей области. Когда неподконтрольный песочнице процесс Claude Code впоследствии записывал данные по пути внутри такой симлинки, он переходил по ссылке и записывал в целевое местоположение без подтверждения пользователя.

Как работает эксплойт

Атака сочетает два компонента: команду внутри песочницы, создающую симлинку за пределы рабочей области, и последующую запись неподконтрольного песочнице приложения по пути, проходящему через эту симлинку. Ни один из компонентов по отдельности не может записать за пределы рабочей области — именно комбинация позволяет произвольную запись файлов. Для надежной эксплуатации требуется инъекция промптов, чтобы инициировать выполнение кода в песочнице через недоверенный контент в контекстном окне Claude Code.

Воздействие и CVSS

Оценено как высокая степень серьезности с базовым показателем CVSS v4 7,7. Вектор атаки — сеть, сложность низкая, привилегии не требуются, пассивное взаимодействие пользователя. Влияние на конфиденциальность, целостность и доступность уязвимой системы — высокое.

Затронутые и исправленные версии

• Затронуты: все версии до 2.1.64
• Исправлено: версия 2.1.64 (выпущена 20 апреля 2026 г.)

Пользователи стандартного автообновления получили исправление автоматически. Пользователям, обновляющимся вручную, следует немедленно обновиться до последней версии.

Что делать

Если вы используете Claude Code, проверьте свою версию с помощью claude --version и обновитесь до ≥2.1.64 через npm update @anthropic-ai/claude-code -g или соответствующий менеджер пакетов. Также имейте в виду, что эта уязвимость может быть вызвана через инъекцию промптов — относитесь к недоверенному контекстному контенту с осторожностью.