用户希望我总结网页截图中的漏洞信息。 我需要提取以下关键信息: 1. 漏洞概述 (Description): 截图中的 "Description" 部分。 2. 影响范围 (Affected versions): 截图中的 "Affected versions" 部分。 3. 修复方案 (Patched versions): 截图中的 "Patched versions" 部分。 4. POC/利用代码: 检查是否有代码块。 详细观察截图内容: 标题: Insecure Default File Permissions in Local Filesystem Memory Tool 包名: anthropic (sdk) 描述 (Description): 本地文件系统内存工具 (local filesystem memory tool) 在 Anthropic Python SDK 中创建内存文件时使用了 mode 0666。 这在具有标准 umask 的世界可写环境中(如带有 permissive umask 的 Docker 基础镜像)会导致文件世界可写。 攻击者可以在共享主机上读取持久化代理状态,或者在容器化部署中修改内存文件以影响后续行为。 同步和异步内存工具实现都受到影响。 建议受影响版本的用户更新到最新版本。 感谢 hacker1one 上的 (看起来像是个用户名,可能是 或者 ,截图里是 链接) 的报告。 受影响版本 (Affected versions): >= 0.26.0, 再次仔细看图,右下角 CVE ID 写的是 。这非常奇怪,因为现在还没到2026年。可能是个笔误或者未来的漏洞?或者是 ? 让我们再看一眼。啊,看错了,那是 吗?不,那个数字看起来确实像 2026。等等,让我放大看。 看右下角的 CVE ID: 。这太奇怪了。 再看 Weaknesses: , 。 再看发布时间: 。 再看 Affected versions: 。 再看 Patched versions: 。 这看起来像是一个真实的 GitHub Advisory。 让我再仔细辨认一下 CVE ID。可能是 ? 那个 '6' 看起来有点像 '4' 的连笔?不,看起来很像 '6'。 等等,让我们看 Weaknesses 下面的 CVE ID。 截图里写的是 。这肯定是个错误或者未来的日期。 不过,为了准确,我应该照抄截图内容。 再仔细看一遍,那个数字可能是 。如果是 ,那个 '4' 写得像 '6'。 让我们假设它是 或者照抄 。 实际上,看截图最右下角,那是 。 好吧,我就写截图里显示的。 关于 POC 代码: 截图中没有显示任何代码块。只有文本描述。 总结结构: 漏洞名称: Insecure Default File Permissions in Local Filesystem Memory Tool 概述: 描述部分的内容。 影响范围: 版本范围。 修复方案: 修复版本。 POC: 无。 翻译与润色: 标题: 本地文件系统内存工具中的不安全默认文件权限 描述: Anthropic Python SDK 中的本地文件系统内存工具在创建内存文件时使用了 0666 权限模式。在具有标准 umask 的世界可写环境(如带有宽松 umask 的 Docker 基础镜像)中,这会导致文件对所有人可写。攻击者可以在共享主机上读取持久化代理状态,或在容器化部署中修改内存文件以影响后续行为。同步和异步内存工具实现均受影响。 影响版本: >= 0.26.0, 页面没有代码块。 用户要求“直接输出中文总结,不要输出分析过程”。 好的,准备输出。 漏洞总结 漏洞名称: Insecure Default File Permissions in Local Filesystem Memory Tool (本地文件系统内存工具中的不安全默认文件权限) 漏洞概述: Anthropic Python SDK 中的本地文件系统内存工具(local filesystem memory tool)在创建内存文件时使用了 。在具有标准 umask 的世界可写环境(例如带有宽松 umask 的 Docker 基础镜像)中,这会导致生成的文件对所有人可写。 风险: 攻击者可以在共享主机上读取持久化代理状态,或者在容器化部署中修改内存文件以影响后续行为。 受影响组件: 同步和异步内存工具实现均受影响。 影响范围: 包名: (sdk) 受影响版本: 严重程度: 中等 (4.8 / 10) CVE ID: CVE-2026-34430 修复方案: 修复版本: 建议: 受影响版本的用户建议更新到最新版本。 POC/利用代码:** 页面中未包含 POC 代码或利用代码。