js · @anthropic-ai/claude-codeAtenção
@anthropic-ai/claude-code: comando /copy cria arquivo temporário inseguro
O comando /copy gravava respostas em /tmp/claude/response.
O que mudou
O comando /copy gravava respostas em /tmp/claude/response.md com permissão 0644 em diretório 0755, sem isolamento por UID, aleatoriedade ou proteção contra symlink. Isso permitia que usuários locais lessem respostas privilegiadas ou explorassem ataque de symlink para sobrescrever arquivos arbitrários.
Quem isso afeta
Usuários de @anthropic-ai/claude-code em sistemas compartilhados onde existe um usuário local não privilegiado e um usuário privilegiado executa o comando /copy.
O que fazer hoje
Atualize para a versão mais recente do Claude Code. Usuários com atualização automática já estão corrigidos; quem atualiza manualmente deve atualizar imediatamente.
A esteira
Coletado→
Auditado→
Redigido→
Publicado