脆弱性  ·  2026-07-17

Claude Code Action(GitHub Action)— 攻撃者制御の PR コンテンツは MCP 設定インジェクションおよびコード実行を有効にする

脆弱性Medium 影響度GlobalCVE-2026-47751
Anthropic の PR/イシューに対して Claude Code を実行するための公式 GitHub Action は、CLI を実行する前に攻撃者制御の PR ブランチから設定ファイル(.mcp.json など)をサニタイゼーションしませんでした。悪意あるコントリビューターが悪意あるMCP サーバー設定を注入できることを許可し、アクションが PR を処理するときに実行されました。
これは CI/CD 統合エージェント的コーディング上のサプライチェーンスタイルの攻撃です。外部 PR の自動レビューに claude-code-action を使用する公開リポジトリは、汚染された MCP 設定を供給する悪意あるプルリクエストで、単純に CI 環境(シークレット、トークン)を侵害できます。
アクションは攻撃者制御の PR head ブランチをチェックアウトし、デフォルト設定ソースを通じて .mcp.json およびその他の設定ファイルを読み取り、その後無条件にチェックアウトされたディレクトリで Claude Code CLI を実行しました。悪意あるプルリクエストが汚染された .mcp.json を植え込める可能性があります。アクションによって読み込まれて実行されます。
Claude Code Action(anthropics/claude-code-action)1.0.74 前
claude-code-action 1.0.74 以降にアップグレードしてください。実行前に PR のベースブランチから信頼できる設定を復元するようになりました(restoreConfigFromBase)。GitHub commit 9ddce40de8c1ab71fb6303a125fdad0968dc1312 を参照してください。
Miggo Vulnerability DatabaseGitHub commit
ライブフィードで見る AIセキュリティとガバナンスの関連情報をさらに見る — 毎朝更新。
フィードを開く →