漏洞关键信息 漏洞描述 类型: 代码执行漏洞 影响版本: <v1.0.39 修复版本: v1.0.39 描述: 当在安装了 Yarn 3.0 或以上版本的机器上运行时,Claude Code 可能在用户接受启动信任对话框之前,通过 Yarn 插件执行项目中的代码。利用此漏洞需要用户在不受信任的目录中启动 Claude Code 并使用 Yarn 3.0 或以上版本。 漏洞详情 严重性: 高 CVSS v4.0 Base Metrics - Attack Vector: Network - Attack Complexity: Low - Attack Requirements: Present - Privileges Required: None - User Interaction: Passive Vulnerable System Impact Metrics - Confidentiality: High - Integrity: High - Availability: High Subsequent System Impact Metrics - Confidentiality: None - Integrity: None - Availability: None CVE ID CVE-2025-65099 Weaknesses CWE-94: 代码注入 注意 标准的 Claude Code 自动更新用户将自动收到此修复。执行手动更新的用户应更新到最新版本。 感谢 Benjamin Faller、Redguard AG 和 Michael Hess 报告此问题!