Trois vulnérabilités découvertes dans Claude Code permettant l’exécution de code à distance et le vol de clés API (correctifs déployés)

Check Point Research a révélé avoir découvert trois vulnérabilités de sécurité dans Claude Code d’Anthropic. Toutes permettent une attaque dès qu’un dépôt non fiable est simplement cloné ou ouvert.

Trois vulnérabilités

1.	Aucun CVE (CVSS 8.7) — injection de code via les hooks de projet dans `.claude/settings.json`. Exécution de code arbitraire possible sans consentement de l’utilisateur. Correctif déployé en septembre 2025 dans la v1.0.87.  
2.	CVE-2025-59536 (CVSS 8.7) — en définissant l’option `enableAllProjectMcpServers` de `.mcp.json` sur `true`, il devient possible d’exécuter automatiquement des commandes shell lors de l’initialisation du serveur MCP. Correctif déployé en octobre 2025 dans la v1.0.111.  
3.	CVE-2026-21852 (CVSS 5.3) — en remplaçant la variable d’environnement `ANTHROPIC_BASE_URL` par un serveur contrôlé par l’attaquant, des requêtes API peuvent être envoyées avant l’invite de vérification de confiance, permettant le vol de clés API. Correctif déployé en janvier 2026 dans la v2.0.65.  

Menace principale

Le simple fait d’ouvrir un dépôt malveillant peut suffire à exposer la clé API d’un développeur et à rediriger du trafic API authentifié vers un serveur externe. Cela peut permettre l’accès à des fichiers de projet partagés, la modification de données cloud ou encore des coûts API imprévus.

Check Point avertit que « à mesure que les outils d’IA exécutent de manière autonome des commandes, initialisent des intégrations externes et communiquent sur le réseau, les fichiers de configuration sont eux-mêmes devenus une partie de la couche d’exécution », et que désormais, non seulement le code source, mais aussi le simple fait d’ouvrir un dépôt peut devenir un point de départ d’une menace sur la supply chain.
Les trois vulnérabilités sont désormais toutes corrigées.​​​​​​​​​​​​​​​​