CVE-2026-21852

Fuite de clés API via des dépôts malveillants dans Claude Code

Une faille de sécurité, identifiée comme CVE-2026-21852, a été découverte dans Claude Code, un outil de codage agentique. Cette vulnérabilité permet à des dépôts malveillants d’exfiltrer des données sensibles, notamment des clés API Anthropic, avant même que l’utilisateur n’ait accordé sa confiance au dépôt.

Le mécanisme d’exploitation repose sur l’inclusion, par un attaquant, d’un fichier de configuration dans un dépôt compromis. Ce fichier modifie le paramètre ANTHROPIC_BASE_URL pour qu’il pointe vers un serveur contrôlé par l’attaquant. Lors de l’ouverture de ce dépôt par un utilisateur, Claude Code lit cette configuration et initie des requêtes API, envoyant potentiellement les clés API de l’utilisateur au serveur de l’attaquant avant l’affichage de toute invite de confiance.

Cette vulnérabilité est classée comme une injection de configuration (CWE-522 : Informations d’identification insuffisamment protégées). Le problème fondamental réside dans le traitement des fichiers de configuration avant la vérification de la confiance de l’utilisateur, permettant l’envoi de requêtes API contenant des informations d’authentification vers un point de terminaison spécifié par l’attaquant sans consentement préalable.

Points clés :

• Nature de la vulnérabilité : Fuite d’informations (Information Disclosure).
• Mécanisme : Injection de configuration via des fichiers de paramètres dans des dépôts malveillants.
• Objectif de l’attaquant : Vol de clés API Anthropic.
• Impact : Compromission des données sensibles de l’utilisateur.

Vulnérabilités :

• CVE : CVE-2026-21852
• CWE : CWE-522 (Informations d’identification insuffisamment protégées)

Recommandations :

• Les versions de Claude Code antérieures à la version 2.0.65 sont affectées. Il est impératif de mettre à jour Claude Code vers la version 2.0.65 ou une version ultérieure pour corriger cette faille.

Source