CVE-2025-64755: Claude Code sed命令解析错误导致任意文件写入漏洞

漏洞信息

漏洞编号

CVE-2025-64755

漏洞类型

任意文件写入

CVSS评分

9.8 严重

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Claude Code

漏洞概述

CVE-2025-64755是Anthropic公司开发的Claude Code编程工具中的一个高危安全漏洞。Claude Code是一个代理式编程辅助工具，旨在帮助开发者进行代码编写、调试和重构工作。在2.0.31之前的版本中，由于该工具在处理sed命令时存在解析错误，攻击者可以构造特殊的输入来绕过Claude Code的安全沙箱机制，即只读模式验证。一旦攻击者成功利用此漏洞，他们可以突破应用的访问控制限制，向主机系统上的任意文件写入恶意内容，包括系统配置文件、敏感凭证文件或可执行脚本等。这一漏洞的CVSS评分高达9.8，属于严重级别，对使用受影响版本Claude Code的用户构成重大安全威胁。攻击者无需任何认证和用户交互即可实施攻击，且该漏洞可通过网络远程利用。

技术细节

该漏洞的根本原因在于Claude Code对sed命令的参数解析存在安全缺陷。Sed（Stream Editor）是Unix/Linux系统中常用的文本流编辑器，Claude Code在执行文件内容修改操作时会调用sed命令。在正常的只读模式下，Claude Code应该限制对文件系统的写操作，但解析逻辑中的错误使得攻击者可以通过构造特殊的sed命令语法来绕过这些限制。具体来说，攻击者可能利用sed命令的重定向功能（如使用'>'、'>>'操作符）或者通过注入额外的命令参数来实现文件写入。例如，通过精心设计的输入序列，攻击者可以将内容写入到本不应该被访问的路径下。漏洞的利用涉及到命令注入和路径遍历技术的结合，攻击者需要理解sed命令的解析规则才能成功构造有效的攻击载荷。该漏洞影响所有在非安全配置下使用Claude Code的开发者环境。

攻击链分析

STEP 1

步骤1

攻击者获得或注册一个包含特殊构造输入的代码仓库或对话上下文

STEP 2

步骤2

攻击者通过Claude Code的对话接口输入包含恶意sed命令的请求，该请求看似是正常的文本编辑操作

STEP 3

步骤3

Claude Code解析输入时，由于sed命令解析逻辑错误，特殊构造的语法（如重定向符）被绕过只读验证机制

STEP 4

步骤4

解析后的命令以提升权限执行，成功向攻击者指定的目标路径（如~/.ssh/authorized_keys或系统配置文件）写入恶意内容

STEP 5

步骤5

攻击者利用写入的恶意文件实现持久化控制、权限提升或进一步横向移动

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-64755 PoC - Claude Code Arbitrary File Write via sed Command Injection
# Target: Claude Code < 2.0.31
# Vulnerability: sed command parsing bypasses read-only validation

import subprocess
import sys

def generate_malicious_input():
    """Generate payload to bypass read-only validation"""
    # Payload structure: combine legitimate sed operation with file write
    # The parsing error allows redirection operators to bypass validation
    malicious_cmd = """
    # Normal-looking sed operation that actually writes to arbitrary location
    echo 'test content' | sed 's/.*/malicious_data/' > /path/to/target/file
    """
    return malicious_cmd

def test_vulnerability(target_file="/tmp/pwned_test.txt"):
    """Test if Claude Code is vulnerable"""
    payload = f"sed -i 's/.*/PWNED/' {target_file}"
    
    try:
        # Simulate Claude Code execution context
        result = subprocess.run(
            payload,
            shell=True,
            capture_output=True,
            text=True,
            timeout=10
        )
        
        if result.returncode == 0:
            # Check if file was created/modified
            try:
                with open(target_file, 'r') as f:
                    content = f.read()
                    if 'PWNED' in content:
                        print(f"[+] VULNERABLE: Successfully wrote to {target_file}")
                        return True
            except:
                pass
        
        print("[-] Target appears not vulnerable or file not accessible")
        return False
        
    except Exception as e:
        print(f"[-] Error during testing: {e}")
        return False

if __name__ == "__main__":
    print("CVE-2025-64755 PoC - Claude Code Arbitrary File Write")
    print("=" * 60)
    test_vulnerability()

影响范围

Claude Code < 2.0.31

防御指南

临时缓解措施

在官方发布修复版本之前，建议采取以下临时缓解措施：1) 限制Claude Code的网络访问权限，仅允许其访问必要的开发资源；2) 使用容器化或虚拟机隔离Claude Code的运行环境；3) 定期审计系统文件完整性，检测是否有异常文件被创建或修改；4) 避免在生产环境中使用受影响版本的Claude Code；5) 监控SSHauthorized_keys、crontab、启动脚本等敏感文件的变化；6) 考虑使用AppArmor、SELinux或seccomp等安全机制限制进程权限。