Caught in the Hook: RCE and API Token Exfiltration Through Claude Code Project Files

CVE-2025-59536

CVE-2026-21852

Risques de Sécurité Critiques dans Claude Code : Exécution de Code à Distance et Vol d’Identifiants API

Des vulnérabilités critiques ont été découvertes dans Claude Code, l’outil de développement basé sur l’IA d’Anthropic. Celles-ci permettaient à des attaquants d’exécuter du code à distance (RCE) et de dérober des identifiants API via des configurations de projet malveillantes. Ces failles exploitaient des mécanismes de configuration tels que les “Hooks”, les serveurs “Model Context Protocol” (MCP) et les variables d’environnement. L’exploitation se produisait lors du clonage et de l’ouverture de dépôts non fiables, permettant l’exécution de commandes shell arbitraires et l’exfiltration de clés API Anthropic. Anthropic a collaboré avec les chercheurs pour corriger ces vulnérabilités, qui sont désormais entièrement patchées.

Points Clés :

• Surface d’Attaque par Configuration : Les fichiers de configuration du projet (.claude/settings.json, .mcp.json) résident directement dans le dépôt, permettant à tout contributeur de les modifier et d’injecter des configurations malveillantes.
• Vecteur d’Attaque de Chaîne d’Approvisionnement : Les vulnérabilités sont particulièrement dangereuses car elles se propagent via des canaux de développement de confiance, tels que les demandes d’extraction (pull requests) malveillantes, les dépôts “honeypot” ou les dépôts d’entreprise compromis.
• Confusion entre Configuration et Exécution : Les fichiers de configuration, autrefois considérés comme des données passives, contrôlent désormais des chemins d’exécution, brouillant la ligne entre métadonnées et code exécutable.

Vulnérabilités Identifiées :

1. Exécution de Code à Distance (RCE) via des Hooks de Projet Non Fiables :
   • Description : Les “Hooks”, définis dans .claude/settings.json, permettent d’exécuter des commandes shell à des points spécifiques du cycle de vie de l’outil. Une configuration malveillante pouvait exécuter des commandes arbitraires sans confirmation explicite de l’utilisateur, menant à une exécution de code à distance.
   • CVE : Non spécifié pour cette vulnérabilité initiale, mais le processus de correction a conduit à des CVE ultérieures.
2. Exécution de Code à Distance (RCE) par Contournement du Consentement Utilisateur pour MCP :
   • Description : Les serveurs MCP, configurés via .mcp.json, peuvent être automatiquement approuvés en utilisant les paramètres enableAllProjectMcpServers ou enabledMcpjsonServers inclus dans .claude/settings.json. Cela permettait l’exécution des commandes du serveur MCP avant même que l’utilisateur ne voie la boîte de dialogue de confiance.
   • CVE : CVE-2025-59536
3. Exfiltration de Clés API via une Variable ANTHROPIC_BASE_URL Malveillante :
   • Description : La variable d’environnement ANTHROPIC_BASE_URL, définissable dans .claude/settings.json, permet de rediriger toutes les communications API vers un endpoint contrôlé par l’attaquant. Cela permettait l’exfiltration de la clé API Anthropic de l’utilisateur en clair, et ce, avant même que l’utilisateur ne confirme la confiance dans le dépôt.
   • Conséquences : Avec une clé API volée, un attaquant pouvait accéder aux “Workspaces” d’Anthropic, potentiellement lire, modifier ou supprimer des fichiers sensibles, causer des fraudes à la facturation, ou épuiser les crédits API. La restriction de téléchargement des fichiers uploadés par l’utilisateur pouvait être contournée en demandant à Claude de régénérer le fichier via son outil d’exécution de code.
   • CVE : CVE-2026-21852

Recommandations :

• Maintenir les Outils à Jour : Utiliser la dernière version de Claude Code pour bénéficier des correctifs.
• Inspecter les Répertoires de Configuration : Examiner attentivement les dossiers comme .claude/, .vscode/ et autres dossiers spécifiques aux outils avant d’ouvrir un projet.
• Prêter Attention aux Avertissements des Outils : Ne pas ignorer les alertes concernant des fichiers potentiellement dangereux, même dans des dépôts apparemment légitimes.
• Examiner les Changements de Configuration : Appliquer la même rigueur lors des revues de code aux fichiers de configuration qu’au code source.
• Remettre en Question les Exigences de Configuration Inhabituelles : Se méfier des configurations qui semblent excessivement complexes pour la portée apparente d’un projet.

Source