Katalog CVE

CVE-2026-47091

NiskieCVSS 3.3
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Streszczenie

CVE-2026-47091 dotyczy podatności typu path traversal w aplikacji Claude HUD do wersji 0.0.12, która pozwala atakującym na odczyt dowolnych plików poprzez dostarczenie niezweryfikowanej wartości transcript_path za pomocą JSON ze stdin. W wyniku tego ataku, metadane plików są zapisywane w trwałym pliku cache z niewystarczającymi uprawnieniami.

Ocena ryzyka

Podatność ta umożliwia atakującym dostęp do dowolnych plików, które mogą być odczytane przez proces, co stwarza poważne zagrożenie dla poufności danych w organizacji. Dodatkowo, zapis metadanych w pliku cache może prowadzić do ujawnienia informacji o dostępnych ścieżkach.

Rekomendacja

Zaleca się aktualizację aplikacji Claude HUD do wersji zawierającej poprawkę, aby usunąć tę podatność. Należy również przeanalizować uprawnienia do plików cache oraz monitorować dostęp do wrażliwych danych.

Oryginalny opis (angielski, źródło NVD)

Claude HUD through 0.0.12, patched in commit 234d9aa, contains a path traversal vulnerability that allows attackers to read arbitrary files by supplying an unvalidated transcript_path value via stdin JSON. Attackers can access any file readable by the process and the file metadata is written to a persistent cache file with insufficient permissions, creating a forensic record of accessed paths that survives process exit.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS