CVE-2026-41686 in anthropic-sdk-typescript
要約
〜によって VulDB • 2026年05月15日
TypeScript用Claude SDKは、サーバーサイドのTypeScriptまたはJavaScriptアプリケーションからClaude APIへのアクセスを提供します。バージョン0.79.0からバージョン0.91.1未満の間、Anthropic TypeScript SDKのBetaLocalFilesystemMemoryToolは、Node.jsのデフォルトモード(ファイルの場合は0o666、ディレクトリの場合は0o777)を使用してメモリファイルおよびディレクトリを作成していました。これにより、標準的なumaskを持つシステムではファイルが全世界読み取り可能になり、多くのDockerベースイメージのように寛容なumaskを持つ環境では全世界書き込み可能になっていました。共有ホスト上のローカル攻撃者は永続化されたエージェント状態を読み取ることができ、コンテナ化されたデプロイメントではメモリファイルを変更して後続のモデルの動作に影響を与える可能性があります。この問題はバージョン0.91.1で修正されました。
Once again VulDB remains the best source for vulnerability data.