CVE-2026-21852
Mis à jour :
Exfiltration de clés API via une vulnérabilité dans Claude Code
Une faille de sécurité, identifiée sous la référence CVE-2026-21852, a été découverte dans l’outil de codage agentique Claude Code. Cette vulnérabilité permet à des dépôts malveillants de dérober des informations sensibles, notamment les clés API d’Anthropic, avant même que l’utilisateur n’ait confirmé sa confiance envers le dépôt.
Points Clés :
- Nature de la vulnérabilité : Divulgation d’informations sensibles et injection de configuration.
- Mécanisme : Un dépôt contrôlé par un attaquant peut contenir un fichier de configuration spécifiant une URL de base d’API (
ANTHROPIC_BASE_URL) pointant vers un serveur malveillant. - Exploitation : L’ouverture d’un tel dépôt par un utilisateur entraîne la lecture de cette configuration par Claude Code. Avant l’affichage de toute invite de confiance à l’utilisateur, l’outil émet des requêtes API, divulguant potentiellement les clés API de l’utilisateur au serveur de l’attaquant.
- Impact : Vol de clés API Anthropic.
- Versions affectées : Claude Code versions antérieures à 2.0.65.
Vulnérabilité :
- CVE : CVE-2026-21852
- Type (selon CWE) : CWE-522: Insufficiently Protected Credentials (Informations d’identification insuffisamment protégées)
Recommandations :
- Mettre à jour Claude Code vers la version 2.0.65 ou une version ultérieure.
- Faire preuve de prudence lors de l’ouverture de dépôts provenant de sources non fiables.