CVE-2026-45136
HighCVSS 7.8Summary
Podatność w claude-code-cache-fix występuje w wersjach od 3.5.0 do przed 3.5.2, gdzie skrypt tools/quota-statusline.sh interpoluje dane wejściowe użytkownika bezpośrednio do literału łańcucha w Pythonie. Wprowadzenie sekwencji bajtów ''' w dowolnym polu kontrolowanym przez użytkownika może zakończyć literał przedwcześnie, co pozwala na wykonanie kolejnych bajtów jako kodu Pythona w procesie Claude Code użytkownika.
Risk Assessment
Ta podatność może prowadzić do wykonania dowolnego kodu w kontekście użytkownika, co stwarza poważne zagrożenie dla bezpieczeństwa systemu i danych organizacji.
Recommendation
Zaleca się aktualizację do wersji 3.5.2 lub nowszej, aby usunąć tę podatność i zabezpieczyć system przed potencjalnym wykorzystaniem.
Original NVD description (English source)
claude-code-cache-fix is a cache optimization proxy for Claude Code. From 3.5.0 to before 3.5.2, tools/quota-statusline.sh (introduced in v3.5.0) interpolates Claude Code's hook stdin payload directly into a Python triple-quoted string literal. A ''' byte sequence in any user-controlled field of the payload closes the literal early and lets following bytes execute as Python in the user's Claude Code process. This vulnerability is fixed in 3.5.2.

