CVE-2026-34451 in anthropic-sdk-typescript
Tóm tắt
Bởi VulDB • 02/06/2026
SDK Claude cho TypeScript cung cấp quyền truy cập vào API Claude từ các ứng dụng TypeScript hoặc JavaScript phía máy chủ. Từ phiên bản 0.79.0 đến trước phiên bản 0.81.0, công cụ bộ nhớ hệ thống tệp cục bộ trong Anthropic TypeScript SDK đã xác thực các đường dẫn do mô hình cung cấp bằng cách kiểm tra tiền tố chuỗi, nhưng không thêm dấu phân tách đường dẫn ở cuối. Một mô hình bị điều khiển bởi kỹ thuật prompt injection có thể cung cấp một đường dẫn được tạo ra đặc biệt, dẫn đến một thư mục anh em (sibling directory) có tên chia sẻ tiền tố với thư mục gốc của bộ nhớ, cho phép đọc và ghi dữ liệu bên ngoài thư mục bộ nhớ được cách ly (sandboxed). Vấn đề này đã được vá trong phiên bản 0.81.0.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.