ช่องโหว่นี้ทำให้ผู้โจมตีสามารถ หลีกเลี่ยงระบบการยืนยันของผู้ใช้ ใน Claude Code ได้ โดยการใช้คำสั่งที่อยู่ในบัญชีคำสั่งที่ปลอดภัย (allowlist) ซึ่งถูกกำหนดไว้กว้างเกินไป สิ่งนี้ทำให้ผู้โจมตีสามารถ อ่านไฟล์ภายในเครื่องคอมพิวเตอร์ และ ส่งเนื้อหาของไฟล์นั้นออกไปนอกเครือข่าย โดยที่ผู้ใช้ไม่ได้รับแจ้งหรือยืนยันใดๆ
การโจมตีนี้ผู้โจมตีจะ แทรกโค้ดหรือเนื้อหาที่ไม่น่าเชื่อถือ เข้าไปในหน้าต่างบริบท (context window) ของ Claude Code เช่น โจมตีแบบ Prompt Injection ทางอ้อม ซึ่งอาจเกิดขึ้นเมื่อ Claude Code วิเคราะห์โค้ดที่ไม่น่าเชื่อถือ หรือประมวลผลข้อมูลจากระบบภายนอก
ผลกระทบ:
ผู้โจมตีสามารถขโมยข้อมูลที่ละเอียดอ่อน เช่น API keys หรือข้อมูลอื่นๆ จากเครื่องของนักพัฒนา โดยส่งข้อมูลเหล่านั้นผ่านการร้องขอ DNS (DNS requests) ไปยังเซิร์ฟเวอร์ที่ผู้โจมตีควบคุม
การแก้ไข:
ผู้ใช้ Claude Code ที่ใช้การอัปเดตอัตโนมัติจะได้รับแก้ไขนี้โดยอัตโนมัติหลังจากการเปิดตัวแพตช์แล้ว ส่วนเวอร์ชันก่อน 1.0.24 นั้นถูกยกเลิกแล้วและถูกบังคับให้อัปเดต ทำให้ผู้ใช้ปัจจุบันไม่ได้รับผลกระทบจากช่องโหว่นี้
แหล่งที่มาอ้างอิง:
CVE-2025-55284 Detail - NVD:
https://nvd.nist.gov/vuln/detail/CVE-2025-55284 Claude Code: Data Exfiltration with DNS (CVE-2025-55284) - Embrace The Red:
https://embracethered.com/blog/posts/2025/claude-code-exfiltration-via-dns-requests/
ไม่มีความคิดเห็น:
แสดงความคิดเห็น