{"id":600,"date":"2026-02-27T08:32:02","date_gmt":"2026-02-27T06:32:02","guid":{"rendered":"https:\/\/vittrup-graversen.dk\/?p=600"},"modified":"2026-03-28T12:10:41","modified_gmt":"2026-03-28T10:10:41","slug":"tre-sikkerhedshuller-i-claude-code-gav-angribere-fuld-adgang-til-udviklermaskiner","status":"publish","type":"post","link":"https:\/\/vittrup-graversen.dk\/index.php\/2026\/02\/27\/tre-sikkerhedshuller-i-claude-code-gav-angribere-fuld-adgang-til-udviklermaskiner\/","title":{"rendered":"Tre sikkerhedshuller i Claude Code gav angribere fuld adgang til udviklermaskiner"},"content":{"rendered":"

Sikkerhedsforskere fra Check Point har afsl\u00f8ret tre alvorlige s\u00e5rbarheder i Anthropics Claude Code \u2014 det popul\u00e6re AI-kodningsv\u00e6rkt\u00f8j der bruges af tusindvis af udviklere verden over. Fejlene kunne udnyttes til fjernk\u00f8rsel af vilk\u00e5rlig kode (RCE) og tyveri af API-n\u00f8gler, blot ved at en udvikler klonede et ondsindet repository.<\/p>\n

Konfigurationsfiler som angrebsflade<\/h2>\n

Claude Code er designet til teamsamarbejde: projektindstillinger gemmes i .claude\/settings.json<\/code>, s\u00e5 alle p\u00e5 teamet automatisk bruger samme ops\u00e6tning. Men netop denne mekanisme viste sig at v\u00e6re farlig. Alle med commit-adgang kan \u00e6ndre disse filer \u2014 og dermed potentielt injicere ondsindede kommandoer.<\/p>\n

Check Point-forskerne Aviv Donenfeld og Oded Vanunu demonstrerede tre distinkte angrebsvektorer:<\/p>\n

CVE-oversigt<\/h2>\n

1. Hooks-misbrug (CVSS 8.7, ingen CVE)<\/strong>
\nClaude Codes Hooks-funktion lader brugere definere shell-kommandoer der k\u00f8rer automatisk p\u00e5 bestemte tidspunkter i v\u00e6rkt\u00f8jets livscyklus. Fordi hooks defineres i den delte konfigurationsfil, kunne en angriber tilf\u00f8je hooks der eksekverede vilk\u00e5rlige kommandoer \u2014 uden at Claude bad om bekr\u00e6ftelse. Fikset i version 1.0.87 (september 2025).<\/p>\n

2. MCP-server override (CVE-2025-59536, CVSS 8.7)<\/strong>
\nVed at s\u00e6tte enableAllProjectMcpServers<\/code> til true<\/code> i repository-konfigurationen kunne angribere omg\u00e5 brugerens eksplicitte godkendelse af eksterne MCP-servere (Model Context Protocol). Det bet\u00f8d at ondsindede MCP-servere startede automatisk ved projekt\u00e5bning. Fikset i version 1.0.111 (oktober 2025).<\/p>\n

3. API-n\u00f8gle-l\u00e6kage (CVE-2026-21852, CVSS 5.3)<\/strong>
\nDen nyeste s\u00e5rbarhed: et ondsindet repository kunne s\u00e6tte ANTHROPIC_BASE_URL<\/code> til en angriberkontrolleret server. Claude Code sendte API-foresp\u00f8rgsler \u2014 inklusive brugerens API-n\u00f8gle \u2014 f\u00f8r<\/em> tillidsdialogens blev vist. Fikset i version 2.0.65 (januar 2026).<\/p>\n

Hvad det betyder for udviklere<\/h2>\n

Alle tre s\u00e5rbarheder er rettet, men de illustrerer et bredere problem: konfigurationsfiler er blevet en del af eksekveringslaget<\/strong>. Det der f\u00f8r var harml\u00f8se projektindstillinger, styrer nu direkte systemopf\u00f8rsel \u2014 og det \u00e6ndrer trusselsbilledet fundamentalt.<\/p>\n

Som Check Point formulerer det: risikoen er ikke l\u00e6ngere begr\u00e6nset til at k\u00f8re kode man ikke har tillid til. Risikoen starter allerede ved at \u00e5bne<\/em> et projekt.<\/p>\n

Anbefalinger<\/h2>\n