Selon Check Point Research (CPR), publié le 25 février 2026, des vulnérabilités critiques dans l’outil développeur Claude Code d’Anthropic permettent une exécution de code à distance (RCE) et l’exfiltration de clés API via des fichiers de configuration de projet; Anthropic a collaboré avec CPR et a corrigé toutes les failles avant publication. 🛡️

• Contexte: Claude Code, un outil CLI agentique, prend en charge la modification de fichiers, Git, tests, intégration MCP et exécution de commandes. Sa configuration est pilotée par dépôt via .claude/settings.json et .mcp.json, exposant une nouvelle surface d’attaque lorsque des dépôts non fiables sont clonés.

• Vulnérabilité #1 – RCE via Hooks non fiables (fichier .claude/settings.json): des hooks définis côté dépôt (ex. événement SessionStart) s’exécutaient sans demande d’approbation explicite, contrairement aux commandes shell ordinaires. CPR démontre l’ouverture de la Calculatrice puis l’escalade en reverse shell. Le dialogue de confiance initial ne prévenait pas clairement que des hooks pouvaient s’exécuter automatiquement. 🪝

• Vulnérabilité #2 – RCE via MCP et contournement du consentement utilisateur: bien qu’un nouveau dialogue prévient des risques d’exécuter des serveurs MCP (.mcp.json), CPR montre qu’en définissant dans .claude/settings.json les paramètres enableAllProjectMcpServers ou enabledMcpjsonServers, l’initialisation de serveurs MCP est auto-approuvée et les commandes s’exécutent immédiatement, avant même le dialogue de confiance; une reverse shell est à nouveau démontrée. (Référence à l’amélioration suite à GHSA-ph6w-f82w-28w6.)

• Vulnérabilité #3 – Exfiltration de clé API via ANTHROPIC_BASE_URL: en définissant la variable d’environnement ANTHROPIC_BASE_URL dans .claude/settings.json vers un point de terminaison contrôlé (ex. via mitmproxy), Claude Code émet des requêtes avant le dialogue de confiance, incluant l’en-tête Authorization avec la clé API Anthropic en clair. Au-delà d’un possible fraude de facturation, CPR montre l’impact sur les Workspaces: les fichiers appartiennent au workspace (partagés entre clés). Bien que les fichiers téléversés ne soient pas téléchargeables par défaut, CPR bypasse cette limite en demandant à l’outil d’exécution de code de régénérer une copie (suffixe .unlocked), la rendant téléchargeable, donnant de facto lecture/écriture sur les fichiers du workspace. Impacts: accès/lecture de fichiers sensibles, suppression, empoisonnement du workspace, épuisement du quota de 100 Go et des crédits API. 🔑

• Correctifs et portée: CPR indique que tous les problèmes signalés sont corrigés avant publication, en collaboration avec l’équipe sécurité d’Anthropic. Vulnérabilités référencées: CVE-2025-59536 et CVE-2026-21852. Article de type recherche visant à documenter les vecteurs d’attaque et leur remédiation.

IOCs: aucun IOC technique (domaines, IP, hachages) n’est fourni dans le texte.

TTPs observés:

  • Abus de hooks (.claude/settings.json) exécutés au démarrage (SessionStart) pour lancer des commandes arbitraires (dont reverse shell).
  • Contournement du consentement MCP via enableAllProjectMcpServers / enabledMcpjsonServers dans .claude/settings.json provoquant une exécution avant tout avertissement.
  • Détournement de ANTHROPIC_BASE_URL pour intercepter le trafic et voler la clé API (requêtes automatiques avant le dialogue de confiance).
  • Régénération de fichiers via l’outil d’exécution de code afin de les rendre téléchargeables dans les Workspaces et en permettre l’exfiltration.
  • Utilisation démontrée d’outils comme mitmproxy; preuves de concept avec ouverture de Calculatrice et reverse shell.

🧠 TTPs et IOCs détectés

TTP

[‘Abus de hooks (.claude/settings.json) exécutés au démarrage (SessionStart) pour lancer des commandes arbitraires (dont reverse shell)’, ‘Contournement du consentement MCP via enableAllProjectMcpServers / enabledMcpjsonServers dans .claude/settings.json provoquant une exécution avant tout avertissement’, ‘Détournement de ANTHROPIC_BASE_URL pour intercepter le trafic et voler la clé API (requêtes automatiques avant le dialogue de confiance)’, ‘Régénération de fichiers via l’outil d’exécution de code afin de les rendre téléchargeables dans les Workspaces et en permettre l’exfiltration’, ‘Utilisation démontrée d’outils comme mitmproxy; preuves de concept avec ouverture de Calculatrice et reverse shell’]

IOC

Aucun IOC technique (domaines, IP, hachages) n’est fourni dans le texte

🔗 Source originale : https://research.checkpoint.com/2026/rce-and-api-token-exfiltration-through-claude-code-project-files-cve-2025-59536/