Schuay

**Nome do Software Vulnerável e Versões Afetadas** claude-code-cache-fix versões 3.5.0 a 3.5.1 **Description** O script `tools/quota-statusline.sh` interpola o payload de stdin do hook do Claude Code diretamente em um literal de string de aspas triplas do Python. Uma sequência de bytes `'''` em qualquer campo controlado pelo usuário no payload pode fechar o literal prematuramente, permitindo que os bytes subsequentes sejam executados como código Python no processo do Claude Code do usuário. Isso pode ocorrer se um usuário navegar para um diretório com um nome malicioso (por exemplo, via `git clone` ou extração de arquivo) enquanto tiver o script `tools/quota-statusline.sh` configurado na definição `statusLine`. Os campos de payload afetados incluem `cwd`, `workspace.current dir`, `workspace.project dir` e `transcript path`. **Recommendations** Atualize o claude-code-cache-fix para a versão 3.5.2. Como alternativa temporária, desative a linha de status removendo a entrada `statusLine` de `~/.claude/settings.json`. Alternativamente, substitua o `tools/quota-statusline.sh` por um script que não passe o stdin através de `python3 -c "..."`.