C
月内に
AnthropicのAI開発ツール「Claude Code」において、サンドボックスを回避して悪意のあるコードを実行させ、機密情報を外部に送信できる2つの脆弱性
📌 一言でいうと
AnthropicのAI開発ツール「Claude Code」において、サンドボックスを回避して悪意のあるコードを実行させ、機密情報を外部に送信できる2つの脆弱性が発見されました。1つはネットワーク制限を無効化するCVE-2025-66479で、もう1つはホスト名の空文字注入によるホワイトリスト回避です。Anthropicはこれらの脆弱性を密かに修正していましたが、十分な告知を行わなかったため、多くのユーザーが長期間リスクにさらされていたと研究者が批判しています。
🔍該当判定
- 開発チームがAIアシスタントツール「Claude Code」を導入して利用している
- Claude Codeのバージョンが v2.1.89 以前(古いバージョン)である
- Claude Codeを使い、APIキーやソースコードなどの機密情報を扱う環境で実行している
上記いずれにも該当しない → 静観でOK
✅該当時の対応
Claude Codeを最新バージョン(v2.1.90以降)にアップデートすることを強く推奨します。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】Anthropic Claude Code サンドボックス回避脆弱性への対応について
お疲れさまです。Claude Codeに関する脆弱性情報について共有いたします。
■ 概要
Claude Codeにおいて、サンドボックス制限を回避し、任意のコード実行や機密情報(APIキー、ソースコード等)の外部送信を可能にする2つの脆弱性が報告されました。1つはネットワーク制限の不備(CVE-2025-66479)、もう1つはホスト名への空文字注入によるホワイトリスト回避です。
■ 影響範囲
- 対象製品: Anthropic Claude Code
- 影響バージョン: v2.0.24 から v2.1.89 まで
■ 対応手順
1. 利用しているClaude Codeのバージョンを確認してください。
2. 最新バージョン(v2.1.90以降)へアップデートを適用してください。
■ 参考情報
- NIST NVD (CVE-2025-66479)
対応優先度: 高
対応期限: 速やかに
お疲れさまです。Claude Codeに関する脆弱性情報について共有いたします。
■ 概要
Claude Codeにおいて、サンドボックス制限を回避し、任意のコード実行や機密情報(APIキー、ソースコード等)の外部送信を可能にする2つの脆弱性が報告されました。1つはネットワーク制限の不備(CVE-2025-66479)、もう1つはホスト名への空文字注入によるホワイトリスト回避です。
■ 影響範囲
- 対象製品: Anthropic Claude Code
- 影響バージョン: v2.0.24 から v2.1.89 まで
■ 対応手順
1. 利用しているClaude Codeのバージョンを確認してください。
2. 最新バージョン(v2.1.90以降)へアップデートを適用してください。
■ 参考情報
- NIST NVD (CVE-2025-66479)
対応優先度: 高
対応期限: 速やかに
Subject: [Security Advisory] Sandbox Escape Vulnerabilities in Anthropic Claude Code
Dear IT/Security Team,
We are sharing information regarding critical vulnerabilities found in Anthropic's Claude Code.
■ Overview
Two sandbox escape vulnerabilities were identified that could allow attackers to execute malicious code and exfiltrate sensitive data (e.g., API keys, source code) via prompt injection. These include a network restriction bypass (CVE-2025-66479) and a hostname null-byte injection vulnerability.
■ Scope
- Product: Anthropic Claude Code
- Affected Versions: v2.0.24 through v2.1.89
■ Remediation
1. Verify the current version of Claude Code in use across the organization.
2. Update to the latest version (v2.1.90 or later) immediately.
■ Reference
- NIST NVD (CVE-2025-66479)
Priority: High
Deadline: Immediate
Dear IT/Security Team,
We are sharing information regarding critical vulnerabilities found in Anthropic's Claude Code.
■ Overview
Two sandbox escape vulnerabilities were identified that could allow attackers to execute malicious code and exfiltrate sensitive data (e.g., API keys, source code) via prompt injection. These include a network restriction bypass (CVE-2025-66479) and a hostname null-byte injection vulnerability.
■ Scope
- Product: Anthropic Claude Code
- Affected Versions: v2.0.24 through v2.1.89
■ Remediation
1. Verify the current version of Claude Code in use across the organization.
2. Update to the latest version (v2.1.90 or later) immediately.
■ Reference
- NIST NVD (CVE-2025-66479)
Priority: High
Deadline: Immediate