En el contexto de un mundo cada vez más digitalizado, la ciberseguridad se ha convertido en una preocupación primordial para empresas, gobiernos y usuarios individuales. Las vulnerabilidades en software y sistemas pueden tener consecuencias devastadoras, desde la pérdida de datos sensibles hasta el compromiso total de infraestructuras críticas. En este marco, la reciente detección de la vulnerabilidad crítica CVE-2026-35022, con una alarmante puntuación CVSS de 9.8 sobre 10, resalta la necesidad de una atención inmediata y una respuesta proactiva por parte de los equipos de seguridad informática.
La vulnerabilidad en cuestión se encuentra en el software Anthropic Claude Code CLI y el SDK de Claude Agent. Específicamente, se trata de una inyección de comandos del sistema operativo (OS command injection) que afecta a la ejecución de un asistente de autenticación. Esta falla se produce porque las configuraciones del asistente se ejecutan con la opción `shell=true` sin una validación adecuada de la entrada. Esto permite a los atacantes, que tengan la capacidad de influir en la configuración de autenticación, inyectar metacaracteres de shell a través de parámetros como `apiKeyHelper`, `awsAuthRefresh`, `awsCredentialExport` y `gcpAuthRefresh`. Como resultado, los atacantes pueden ejecutar comandos arbitrarios con los privilegios del usuario o del entorno de automatización, facilitando el robo de credenciales y la exfiltración de variables de entorno.
Desde un punto de vista técnico, esta vulnerabilidad está clasificada bajo el identificador CWE-78, que se refiere a la ejecución de comandos del sistema a través de entradas no controladas. Este tipo de vulnerabilidad es especialmente crítica porque permite a un atacante no sólo acceder a información sensible, sino también manipular el comportamiento del sistema vulnerable.
Analizando el vector de ataque, se determina que es de tipo NETWORK con una complejidad de ataque baja, lo que significa que los atacantes pueden explotar la vulnerabilidad de manera remota sin necesidad de privilegios especiales ni interacción del usuario. Esto la convierte en un objetivo atractivo para los ciberdelincuentes, ya que disminuye las barreras de entrada para llevar a cabo un ataque exitoso.
La alta puntuación CVSS de 9.8 coloca esta vulnerabilidad en la categoría de CRÍTICA según la escala del Common Vulnerability Scoring System v3.1, que clasifica los riesgos de seguridad en un rango de 0 a 10. Generalmente, las vulnerabilidades con puntuaciones superiores a 9.0 son las más peligrosas, ya que permiten la ejecución remota de código, la escalada de privilegios o el compromiso total del sistema afectado.
Para aquellos administradores de sistemas que buscan información técnica adicional o parches disponibles, se les recomienda visitar las siguientes referencias: https://phoenix.security/critical-ci-cd-nightmare-3-command-injection-flaws-in-claude-code-cli-allow-credential-exfiltration/ y https://www.vulncheck.com/advisories/anthropic-claude-code-agent-sdk-os-command-injection-via-authentication-helper.
Dada la gravedad de esta vulnerabilidad, se insta a todas las organizaciones que utilicen el software afectado a aplicar los parches de seguridad disponibles de manera inmediata. Además, es crucial llevar a cabo una revisión exhaustiva de los sistemas en busca de indicadores de compromiso y monitorizar el tráfico de red para detectar cualquier actividad sospechosa relacionada con esta vulnerabilidad. La rapidez y la diligencia en la respuesta pueden marcar la diferencia entre la mitigación de un incidente potencialmente devastador y la exposición de datos críticos.
Este acontecimiento se suma a una tendencia más amplia en la que las vulnerabilidades de inyección de comandos se han convertido en un vector de ataque recurrente en el panorama de la ciberseguridad. Incidentes similares han sido reportados en diversas plataformas, lo que subraya la importancia de implementar medidas de seguridad robustas y de mantener una vigilancia constante en el ecosistema digital. La ciberseguridad no es una tarea que se realiza una sola vez; es un proceso continuo que requiere atención, recursos y un enfoque proactivo.