一、 漏洞 CVE-2025-54794 基础信息
漏洞信息
                                        # Claude Code Research Preview 路径绕过漏洞

## 概述

Claude Code 是一个基于代理的编程工具。在版本低于 0.2.111 的情况下,存在一个路径验证漏洞。

## 影响版本

所有低于 0.2.111 的版本。

## 细节

该漏洞是由于使用前缀匹配进行路径验证,而不是使用规范化路径比较导致的。攻击者可以利用此问题绕过目录限制,访问当前工作目录(CWD)之外的文件。

## 影响

若成功利用此漏洞,攻击者可以在满足以下条件时读取或访问受限的文件:

- 存在(或可创建)与 CWD 具有相同前缀的目录;
- 能够将不受信任的内容添加到 Claude Code 的上下文窗口中。

## 修复版本

此问题已在版本 0.2.111 中修复。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
Claude Code Research Preview has a Path Restriction Bypass which could allow unauthorized file access
来源:美国国家漏洞数据库 NVD
漏洞描述信息
Claude Code is an agentic coding tool. In versions below 0.2.111, a path validation flaw using prefix matching instead of canonical path comparison, makes it possible to bypass directory restrictions and access files outside the CWD. Successful exploitation depends on the presence of (or ability to create) a directory with the same prefix as the CWD and the ability to add untrusted content into a Claude Code context window. This is fixed in version 0.2.111.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
对路径名的限制不恰当(路径遍历)
来源:美国国家漏洞数据库 NVD
漏洞标题
Claude Code 路径遍历漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Claude Code是Anthropic开源的一个代理编码工具。 Claude Code 0.2.111之前版本存在路径遍历漏洞,该漏洞源于路径验证使用前缀匹配而非规范路径比较,可能导致目录限制绕过。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
路径遍历
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2025-54794 的公开POC
# POC 描述 源链接 神龙链接
1 A high-severity prompt injection flaw in Claude AI proves that even the smartest language models can be turned into weapons — all with a few lines of code. https://github.com/AdityaBhatt3010/CVE-2025-54794-Hijacking-Claude-AI-with-a-Prompt-Injection-The-Jailbreak-That-Talked-Back POC详情
三、漏洞 CVE-2025-54794 的情报信息
四、漏洞 CVE-2025-54794 的评论

暂无评论

发表评论