リモートホストにインストールされている Anthropic Claude Code のバージョンは、2.1.163 より前のバージョン0.2.54です。したがって、データ漏えいの脆弱性の影響を受けます。

  - ホスト名 huggingface.co が WebFetch ツールのベアホスト名として事前承認されていたため、攻撃者が制御するモデルリポジトリを含むそのドメイン上のパスは、権限プロンプトがないか、 --allowedTools の制限の対象となることなく自動承認されていました。
      信頼できないコンテンツをClaudeコードのコンテキストに注入できる攻撃者は、攻撃者が制御するリポジトリファイルに対してWebFetchリクエストを発行するように指示する可能性があります。HuggingFaceはこれをサーバーサイドのダウンロードとしてカウントし、ファイル、環境変数、コマンド出力など、Claudeがアクセスできるデータのエンコードと抽出のための隠れた帯域外チャネルを作成します。これを確実に悪用するには、信頼できないコンテンツを Claude コードのコンテキストウィンドウに追加する機能が必要でした。(CVE-2026-54316)

Nessus はこの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

検出

Anthropic Claude コード 0.2.54 < 2.1.163 データ漏洩(CVE-2026-54316)

medium Nessus プラグイン ID 322792

バージョン 1.3