CVE-2026-45136

Nome do Software Vulnerável e Versões Afetadas claude-code-cache-fix versões 3.5.0 a 3.5.1

Description O script tools/quota-statusline.sh interpola o payload de stdin do hook do Claude Code diretamente em um literal de string de aspas triplas do Python. Uma sequência de bytes ''' em qualquer campo controlado pelo usuário no payload pode fechar o literal prematuramente, permitindo que os bytes subsequentes sejam executados como código Python no processo do Claude Code do usuário. Isso pode ocorrer se um usuário navegar para um diretório com um nome malicioso (por exemplo, via git clone ou extração de arquivo) enquanto tiver o script tools/quota-statusline.sh configurado na definição statusLine. Os campos de payload afetados incluem cwd, workspace.current dir, workspace.project dir e transcript path.

Recommendations Atualize o claude-code-cache-fix para a versão 3.5.2. Como alternativa temporária, desative a linha de status removendo a entrada statusLine de ~/.claude/settings.json. Alternativamente, substitua o tools/quota-statusline.sh por um script que não passe o stdin através de python3 -c "...".