CVE-2026-34451 in anthropic-sdk-typescriptthông tin

Tóm tắt

Bởi VulDB • 02/06/2026

SDK Claude cho TypeScript cung cấp quyền truy cập vào API Claude từ các ứng dụng TypeScript hoặc JavaScript phía máy chủ. Từ phiên bản 0.79.0 đến trước phiên bản 0.81.0, công cụ bộ nhớ hệ thống tệp cục bộ trong Anthropic TypeScript SDK đã xác thực các đường dẫn do mô hình cung cấp bằng cách kiểm tra tiền tố chuỗi, nhưng không thêm dấu phân tách đường dẫn ở cuối. Một mô hình bị điều khiển bởi kỹ thuật prompt injection có thể cung cấp một đường dẫn được tạo ra đặc biệt, dẫn đến một thư mục anh em (sibling directory) có tên chia sẻ tiền tố với thư mục gốc của bộ nhớ, cho phép đọc và ghi dữ liệu bên ngoài thư mục bộ nhớ được cách ly (sandboxed). Vấn đề này đã được vá trong phiên bản 0.81.0.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

chịu trách nhiệm

GitHub M

Đặt trước

27/03/2026

Tiết lộ

01/04/2026

Kiểm duyệt

được chấp nhận

EPSS

0.00292

KEV

không

Các hoạt động

rất thấp

Nguồn

Do you know our Splunk app?

Download it now for free!