Claude Codeの設定ファイルが攻撃面に不正リポジトリでRCEとAPIキー窃取が成立した脆弱性(CVE-2025-59536/CVE-2026-21852)

セキュリティニュース

投稿日時: 更新日時:

Claude Codeの設定ファイルが攻撃面に不正リポジトリでRCEとAPIキー窃取が成立した脆弱性(CVE-2025-59536/CVE-2026-21852)

Check Point Researchは2026年2月25日、AnthropicのAI開発支援ツールClaude Codeにおいて、開発者が不審なリポジトリをクローンして開くだけで、端末上で任意コマンド実行(RCE)やAPI認証情報の窃取が可能になり得る重大な脆弱性を公表しました。

概要

この脆弱性はClaude Codeがリポジトリ内の設定ファイルを読み込み、Hooks、MCP(Model Context Protocol)サーバ、環境変数などの仕組みを自動的に初期化する点を悪用します。Check PointはAnthropicと連携して修正を進め、公開時点までに報告した問題はすべて修正済みだとしています。

根本原因は、プロジェクト初期化時の信頼境界(ユーザーが信頼すると判断する前に、どこまで動作させるか)の設計と実装が甘く、リポジトリ側の設定がユーザー同意より先に影響を及ぼす状態があった点です。CVE-2025-59536は起動時の信頼確認ダイアログ実装の不具合により、ユーザーが信頼を承認する前にプロジェクト内のコードが実行され得たと説明されています。

影響

影響は大きく2系統に分かれます。

1つ目は、開発端末でのRCEです。未信頼のリポジトリを開いてClaude Codeを起動するだけで、ユーザーが十分に意識しないタイミングでプロジェクト側の設定に埋め込まれた実行処理が動き、端末が乗っ取られる可能性があります。

2つ目は、Anthropic APIキーなど認証情報の漏えいです。設定によりAPI接続先を攻撃者のエンドポイントへ向けられると、信頼確認前に送信が走り、APIキーが外部へ渡る可能性があります。NVDも、悪意ある設定により信頼確認前にAPI要求が発生し得る点を説明しています。

脆弱性の内容

CVE-2025-59536(RCEにつながる起動時実行)

Claude Codeの1.0.111未満で、未信頼ディレクトリで起動した際に、信頼確認より前にプロジェクト内のコードが実行され得る問題です。CVSSはNVD上で高(ベース8.8)として扱われています。
Check Pointの報告では、HooksやMCPの初期化など、設定ベースの自動化が攻撃面になり、チーム開発の自然な手順の中でRCEへ到達する点が焦点になっています。

CVE-2026-21852(APIキー漏えい)

Claude Codeの2.0.65未満で、プロジェクト側の設定によりAPI接続先を変更でき、信頼確認前にAPI要求が送信されることでAnthropic APIキーを含むデータが漏えいし得る問題です。
また、同一ワークスペース内のファイル・資産へのアクセス範囲が広がることで、個人端末の事故を越えてチーム全体へ影響する可能性があります。
※Check PointはWorkspaces機能に言及しています

対策

パッチ適用(最優先)

  • CVE-2025-59536:Claude Code 1.0.111以降へ更新

  • CVE-2026-21852:Claude Code 2.0.65以降へ更新

Auto-update前提の運用でも、開発端末はローカル事情で更新が遅れます。情シス側で最低バージョンを定め、未達端末を把握できる状態にしておくべきです。

出典

Caught in the Hook: RCE and API Token Exfiltration Through Claude Code Project Files | CVE-2025-59536 | CVE-2026-21852