CVE-2026-21852
Mis à jour :
Fuite de Clés API par Injection de Configuration dans Claude Code
Une vulnérabilité (CVE-2026-21852) dans Claude Code, un outil de codage agent, permet à des dépôts malveillants d’exfiltrer des données sensibles, notamment des clés API Anthropic. Ce défaut survient lorsque le dépôt contrôlé par un attaquant contient un fichier de configuration qui redirige la variable ANTHROPIC_BASE_URL vers un point de terminaison sous son contrôle. À l’ouverture du dépôt, Claude Code lit cette configuration et émet des requêtes API, potentiellement divulguant les clés API de l’utilisateur avant même que l’utilisateur ne confirme la confiance envers le dépôt.
Points Clés :
- Type de Vulnérabilité : Divulgation d’informations, Injection de configuration.
- Mécanisme : Les fichiers de configuration malveillants modifient
ANTHROPIC_BASE_URLpour intercepter les requêtes API. - Conséquence : Vol de clés API Anthropic.
- Attaque : Nécessite que les développeurs clonent et ouvrent des dépôts malveillants.
Vulnérabilité :
- CVE : CVE-2026-21852
- CWE : CWE-522: Insufficiently Protected Credentials (Identifiants insuffisamment protégés)
Versions Affectées :
- Claude Code avant la version 2.0.65.
Recommandations :
- Mettre à jour Claude Code vers la version 2.0.65 ou une version ultérieure.
- Faire preuve de prudence lors du clonage et de l’ouverture de dépôts provenant de sources non fiables.