Vulnerabilidade no Claude Code permite invasão de repositórios no GitHub

BR Defense Center (By River de Morais e Silva)
vulnerabilidade

Um pesquisador de segurança descobriu uma falha no Claude Code, uma ação do GitHub desenvolvida pela Anthropic, que permitia a um atacante assumir repositórios públicos vulneráveis apenas com a abertura de uma única issue no GitHub. A falha foi reportada em janeiro e corrigida em quatro dias, com a versão segura sendo a claude-code-action v1.0.94. A vulnerabilidade foi classificada com um score de 7.8 no CVSS v4.0 e resultou em um pagamento de recompensa por bugs. O problema estava na verificação de gatilho da ação, que permitia que qualquer ator cujo nome terminasse em [bot] acionasse a ação, assumindo que aplicativos do GitHub são confiáveis. Isso possibilitou que um atacante injetasse comandos maliciosos que poderiam expor variáveis de ambiente e credenciais sensíveis. Além disso, a configuração padrão da ação permitia que usuários sem acesso de escrita a acionassem, aumentando o risco. A situação é crítica, pois um ataque semelhante já resultou na exploração de um token de publicação npm em outro repositório. A recomendação é atualizar para a versão corrigida e auditar fluxos de trabalho que permitam entradas não confiáveis.

Fonte: https://thehackernews.com/2026/06/claude-code-github-action-flaw-let-one.html

⚠️
BR DEFENSE CENTER: SECURITY BRIEFING
04/06/2026 • Risco: ALTO
VULNERABILIDADE

Vulnerabilidade no Claude Code permite invasão de repositórios no GitHub

RESUMO EXECUTIVO
A falha no Claude Code representa um risco significativo para a segurança de repositórios no GitHub, com potencial para comprometer dados sensíveis e credenciais. A correção rápida é essencial para mitigar riscos futuros.

💼 IMPACTO DE NEGÓCIO

Financeiro
Possíveis perdas financeiras devido a compromissos de segurança e vazamentos de dados.
Operacional
Possibilidade de roubo de credenciais e comprometimento de repositórios.
Setores vulneráveis
['Tecnologia', 'Desenvolvimento de Software']

📊 INDICADORES CHAVE

Score CVSS de 7.8 Indicador
Correção em quatro dias Contexto BR
Cerca de 50 métodos de bypass reportados Urgência

⚡ AÇÕES IMEDIATAS

1 Verificar se a versão claude-code-action v1.0.94 ou superior está em uso.
2 Auditar fluxos de trabalho que permitem entradas não confiáveis e restringir permissões.
3 Monitorar continuamente atividades suspeitas em repositórios que utilizam Claude Code.

🇧🇷 RELEVÂNCIA BRASIL

CISOs devem se preocupar com a segurança de ferramentas de CI/CD amplamente utilizadas, pois falhas podem levar a compromissos significativos de segurança.

⚖️ COMPLIANCE

Implicações para a conformidade com a LGPD, especialmente em relação ao tratamento de dados sensíveis.
Status
mitigado
Verificação
alta
BR Defense Center

Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).