claude-code-cache-fix is a cache optimization proxy for Claude Code. From 3.5.0 to before 3.5.2, tools/quota-statusline.sh (introduced in v3.5.0) interpolates Claude Code's hook stdin payload directly into a Python triple-quoted string literal. A ''' byte sequence in any user-controlled field of the payload closes the literal early and lets following bytes execute as Python in the user's Claude Code process. This vulnerability is fixed in 3.5.2.
CVE-2026-45136 is a code injection vulnerability in claude-code-cache-fix versions 3.5.0-3.5.1 where unsanitized user input in the quota-statusline.sh script can break out of Python string literals and execute arbitrary code. Organizations using affected versions face remote code execution risks through Claude Code hook payloads.
يحتوي الإصدار 3.5.0 إلى 3.5.1 من claude-code-cache-fix على ثغرة حقن أكواد في ملف tools/quota-statusline.sh حيث يتم إدراج حمولة stdin من Claude Code مباشرة في سلسلة نصية Python بدون تنظيف. يمكن لمهاجم استخدام تسلسل ''' لإغلاق السلسلة النصية مبكراً وتنفيذ أكواد Python تعسفية في عملية المستخدم.
A code injection flaw in claude-code-cache-fix allows attackers to execute arbitrary Python code by injecting triple-quote sequences into user-controlled payload fields. This affects versions 3.5.0 through 3.5.1 and requires immediate patching to version 3.5.2.
Upgrade claude-code-cache-fix to version 3.5.2 or later immediately. Review and sanitize all user-controlled input before interpolation into Python code. Implement input validation to reject or escape triple-quote sequences in hook payloads. Restrict Claude Code process permissions using least-privilege principles.
قم بترقية claude-code-cache-fix إلى الإصدار 3.5.2 أو أحدث فوراً. راجع وتحقق من صحة جميع المدخلات التي يتحكم بها المستخدم قبل إدراجها في أكواد Python. طبق التحقق من المدخلات لرفض أو تجنب تسلسلات الفواصل الثلاثية في حمولات الخطافات. قيد صلاحيات عملية Claude Code باستخدام مبادئ الامتيازات الأقل.