CVE Catalog
EnglishPolski(English translation not available — showing Polish)

CVE-2026-47091

LowCVSS 3.3
Published: Updated: Translated: NVD NIST

Summary

CVE-2026-47091 dotyczy podatności typu path traversal w aplikacji Claude HUD do wersji 0.0.12, która pozwala atakującym na odczyt dowolnych plików poprzez dostarczenie niezweryfikowanej wartości transcript_path za pomocą JSON ze stdin. W wyniku tego ataku, metadane plików są zapisywane w trwałym pliku cache z niewystarczającymi uprawnieniami.

Risk Assessment

Podatność ta umożliwia atakującym dostęp do dowolnych plików, które mogą być odczytane przez proces, co stwarza poważne zagrożenie dla poufności danych w organizacji. Dodatkowo, zapis metadanych w pliku cache może prowadzić do ujawnienia informacji o dostępnych ścieżkach.

Recommendation

Zaleca się aktualizację aplikacji Claude HUD do wersji zawierającej poprawkę, aby usunąć tę podatność. Należy również przeanalizować uprawnienia do plików cache oraz monitorować dostęp do wrażliwych danych.

Original NVD description (English source)

Claude HUD through 0.0.12, patched in commit 234d9aa, contains a path traversal vulnerability that allows attackers to read arbitrary files by supplying an unvalidated transcript_path value via stdin JSON. Attackers can access any file readable by the process and the file metadata is written to a persistent cache file with insufficient permissions, creating a forensic record of accessed paths that survives process exit.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS