CVE-2026-41686 in anthropic-sdk-typescriptinformación

Resumen

por VulDB • 2026-05-28

El SDK de Claude para TypeScript proporciona acceso a la API de Claude desde aplicaciones TypeScript o JavaScript del lado del servidor. Desde la versión 0.79.0 hasta antes de la versión 0.91.1, la herramienta BetaLocalFilesystemMemoryTool en el SDK de TypeScript de Anthropic creaba archivos y directorios de memoria utilizando los modos predeterminados de Node.js (0o666 para archivos, 0o777 para directorios), dejándolos legibles por todos los usuarios en sistemas con una umask estándar y escribibles por todos los usuarios en entornos con una umask permisiva, como muchas imágenes base de Docker. Un atacante local en un host compartido podría leer el estado persistente del agente, y en implementaciones en contenedores podría modificar los archivos de memoria para influir en el comportamiento posterior del modelo. Este problema se ha corregido en la versión 0.91.1.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsable

GitHub M

Reservar

2026-04-22

Divulgación

2026-05-04

Moderación

aceptado

Artículo

VDB-361055

CPE

listo

EPSS

0.00012

KEV

no

Actividades

muy bajo

Sector

Transportation, Education, ...

Fuentes

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-41686
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-41686
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-41686/

AnteriorVisión De ConjuntoPróximo

Want to know what is going to be exploited?

We predict KEV entries!