CVE-2025-52882

  1. OpenCVE
  2. Vulnerabilities (CVE)
  3. CVE-2025-52882
Claude Code is an agentic coding tool. Claude Code extensions in VSCode and forks (e.g., Cursor, Windsurf, and VSCodium) and JetBrains IDEs (e.g., IntelliJ, Pycharm, and Android Studio) are vulnerable to unauthorized websocket connections from an attacker when visiting attacker-controlled webpages. Claude Code for VSCode IDE extensions versions 0.2.116 through 1.0.23 are vulnerable. For Jetbrains IDE plugins, Claude Code [beta] versions 0.1.1 through 0.1.8 are vulnerable. In VSCode (and forks), exploitation would allow an attacker to read arbitrary files, see the list of files open in the IDE, get selection and diagnostics events from the IDE, or execute code in limited situations where a user has an open Jupyter Notebook and accepts a malicious prompt. In JetBrains IDEs, an attacker could get selection events, a list of open files, and a list of syntax errors. Claude released a patch for this issue on June 13th, 2025. Although Claude Code auto-updates when a user launch it and auto-updates the extensions, users should take the following steps, though the exact steps depend on one's integrated development environment (IDE). For VSCode, Cursor, Windsurf, VSCodium, and other VSCode forks, check the extension Claude Code for VSCode. Open the list of Extensions (View->Extensions), look for Claude Code for VSCode among installed extensions, update or uninstall any version prior to 1.0.24, and restart the IDE. For JetBrains IDEs including IntelliJ, PyCharm, and Android Studio, check the plugin Claude Code [Beta]. Open the Plugins list, look for Claude Code [Beta] among installed extensions, update or uninstall any version prior to 0.1.9, and restart the IDE.
CVSS

No CVSS.

References
Link Resource
https://github.com/anthropics/claude-code/security/advisories/GHSA-9f65-56v6-gxw7
Configurations

No configuration.

History

26 Jun 2025, 18:58

Type Values Removed Values Added
Summary
  • (es) Claude Code es una herramienta de codificación agentica. Las extensiones de Claude Code en VSCode y sus bifurcaciones (p. ej., Cursor, Windsurf y VSCodium) y los IDE de JetBrains (p. ej., IntelliJ, Pycharm y Android Studio) son vulnerables a conexiones websocket no autorizadas de un atacante al visitar páginas web controladas por el atacante. Las extensiones de Claude Code para VSCode IDE, versiones 0.2.116 a 1.0.23, son vulnerables. Para los complementos de Jetbrains IDE, las versiones 0.1.1 a 0.1.8 de Claude Code [beta] son vulnerables. En VSCode (y sus bifurcaciones), la explotación permitiría a un atacante leer archivos arbitrarios, ver la lista de archivos abiertos en el IDE, obtener eventos de selección y diagnóstico del IDE, o ejecutar código en situaciones limitadas donde un usuario tiene un Jupyter Notebook abierto y acepta un mensaje malicioso. En los IDE de JetBrains, un atacante podría obtener eventos de selección, una lista de archivos abiertos y una lista de errores de sintaxis. Claude publicó un parche para este problema el 13 de junio de 2025. Aunque Claude Code se actualiza automáticamente al iniciarlo y también actualiza las extensiones, se recomienda seguir los pasos que se indican a continuación, aunque los pasos exactos dependen del entorno de desarrollo integrado (IDE) de cada usuario. Para VSCode, Cursor, Windsurf, VSCodium y otras bifurcaciones de VSCode, consulte la extensión Claude Code para VSCode. Abra la lista de extensiones (Ver->Extensiones), busque Claude Code para VSCode entre las extensiones instaladas, actualice o desinstale cualquier versión anterior a la 1.0.24 y reinicie el IDE. Para los IDE de JetBrains, como IntelliJ, PyCharm y Android Studio, consulte el complemento Claude Code [Beta]. Abra la lista de complementos, busque Claude Code [Beta] entre las extensiones instaladas, actualice o desinstale cualquier versión anterior a la 0.1.9 y reinicie el IDE.

24 Jun 2025, 20:15

Type Values Removed Values Added
New CVE
Information

Published : 2025-06-24 20:15

Updated : 2025-06-26 18:58

NVD link : CVE-2025-52882

Mitre link : CVE-2025-52882

CVE.ORG link : CVE-2025-52882

JSON object : View

Products Affected

No product.

CWE
CWE-1385

Missing Origin Validation in WebSockets