❌
Claude Code IDE拡張機能の重要なセキュリティ脆弱性 - 即座にアップデート推奨
Anthropic社のClaude Code IDE拡張機能で深刻なセキュリティ脆弱性が発見されました。開発者は今すぐアップデートが必要です。
脆弱性の概要
問題: WebSocket接続で任意のオリジンからの接続を許可してしまう脆弱性
影響: 悪意のあるWebサイトを訪問するだけで、IDEへの不正アクセスが可能
深刻度: 高(ファイル読み取り、作業監視、限定的なコード実行が可能)
影響を受ける製品・バージョン
VSCode系(VSCode、Cursor、Windsurf、VSCodium等)
- 拡張機能: Claude Code for VSCode
- 脆弱性バージョン: 0.2.116 〜 1.0.23
- 修正バージョン: 1.0.24以降
JetBrains系(IntelliJ、PyCharm、Android Studio等)
- プラグイン: Claude Code [Beta]
- 脆弱性バージョン: 0.1.1 〜 0.1.8
- 修正バージョン: 0.1.9以降
想定される被害
VSCode系での被害
- 任意ファイルの読み取り
- 開いているファイル一覧の取得
- リアルタイムでの選択テキスト・診断情報の監視
- Jupyter Notebook使用時の限定的なコード実行
JetBrains系での被害
- 選択テキストの監視
- 開いているファイル一覧の取得
- 構文エラー一覧の取得
攻撃手法
- 攻撃者が悪意のあるWebサイトを作成
- ユーザーがサイトを訪問
- サイトのJavaScriptがIDEにWebSocket接続
- 拡張機能が不適切に接続を許可
- IDE内情報への不正アクセス完了
重要: ユーザーの特別な操作は不要。Webサイト訪問のみで攻撃成立。
対応方法(即座に実行)
VSCode系エディタ
-
View→Extensionsを開く -
Claude Code for VSCodeを確認 - バージョン1.0.24未満の場合は
Update - IDE再起動
JetBrains系IDE
- プラグイン一覧を開く
-
Claude Code [Beta]を確認 - バージョン0.1.9未満の場合はアップデート
- IDE再起動
修正状況
- パッチリリース日: 2025年6月13日
- 自動更新: 有効だが手動確認を推奨
- 対応完了確認: 上記手順でバージョン確認必須
重要なポイント
- IDE拡張機能も重要な攻撃対象
- WebSocket通信でのオリジン検証の重要性
- 開発環境のセキュリティがプロダクトセキュリティに直結
- 定期的なセキュリティアドバイザリ確認の必要性
未対応の場合、機密情報漏洩のリスクが高いため、即座のアップデートを強く推奨します。
参考情報
公式セキュリティアドバイザリ:
脆弱性ID: GHSA-9f65-56v6-gxw7
最新の詳細情報については上記の公式アドバイザリを確認してください。
Discussion