Kerentanan  ·  2026-07-17

Claude Code Action (GitHub Action) — Konten PR yang Dikontrol Penyerang Memungkinkan Injeksi Konfigurasi MCP dan Eksekusi Kode

KerentananMedium dampakGlobalCVE-2026-47751
GitHub Action resmi Anthropic untuk menjalankan Claude Code terhadap PR/issues tidak menyanitasi file konfigurasi (seperti .mcp.json) dari cabang PR yang dikontrol penyerang sebelum menjalankan CLI, memungkinkan kontributor berbahaya untuk menyuntikkan konfigurasi server MCP berbahaya yang dieksekusi ketika tindakan memproses PR mereka.
Ini adalah serangan gaya rantai pasokan pada agen pengkodean AI yang terintegrasi CI/CD: repositori publik apa pun yang menggunakan claude-code-action untuk meninjau PR eksternal secara otomatis dapat memiliki lingkungan CI-nya (rahasia, token) dikompromikan hanya dengan permintaan pull berbahaya yang menyuplai konfigurasi MCP yang beracun.
Tindakan ini melakukan checkout pada cabang kepala PR yang dikontrol penyerang dan membaca .mcp.json plus file konfigurasi lainnya dari direktori kerja melalui sumber pengaturan default, kemudian secara tanpa syarat menjalankan Claude Code CLI di direktori yang di-checkout — memungkinkan PR berbahaya untuk menempatkan .mcp.json yang beracun yang dimuat dan dieksekusi oleh tindakan.
Claude Code Action (anthropics/claude-code-action) sebelum 1.0.74
Upgrade ke claude-code-action 1.0.74 atau lebih baru, yang memulihkan konfigurasi terpercaya dari cabang dasar PR sebelum eksekusi (restoreConfigFromBase). Lihat komit GitHub 9ddce40de8c1ab71fb6303a125fdad0968dc1312.
Miggo Vulnerability DatabaseGitHub commit
Lihat di umpan langsung Jelajahi temuan keamanan dan tata kelola AI terkait — diperbarui setiap pagi.
Buka umpan →