JVN iPedia http://jvndb.jvn.jp Advisory JVNDB-2026-011987 Python用Claude SDKは、PythonアプリケーションからClaude APIへのアクセスを提供します。バージョン0.86.0から0.87.0未満の間、Anthropic Python SDKの非同期ローカルファイルシステムメモリツールは、モデル供給のパスがサンドボックス化されたメモリディレクトリ内に解決されることを検証しましたが、その後のファイル操作で未解決のパスを返していました。ローカルの攻撃者がメモリディレクトリへの書き込み権限を持つ場合、検証と使用の間にシンボリックリンクを再ターゲットにすることで、読み取りや書き込みがサンドボックス外に脱出する可能性がありました。同期的なメモリツールの実装には影響がありませんでした。この問題はバージョン0.87.0で修正されました。 cpe:/a:anthropic:claude_sdk_for_python https://jvndb.jvn.jp/ja/contents/2026/JVNDB-2026-011987.html Common Vulnerabilities and Exposures (CVE) CVE-2026-34452 https://www.cve.org/CVERecord?id=CVE-2026-34452 National Vulnerability Database (NVD) CVE-2026-34452 https://nvd.nist.gov/vuln/detail/CVE-2026-34452 GitHub Memory Tool Path Validation Race Condition Allows Sandbox Escape Advisory anthropics/anthropic-sdk-python GitHub https://github.com/anthropics/anthropic-sdk-python/security/advisories/GHSA-w828-4qhx-vxx3 JVNDB CWE-367 https://cwe.mitre.org/data/definitions/367.html JVNDB CWE-59 https://jvndb.jvn.jp/ja/cwe/CWE-59.html 関連文書 fix(memory): return resolved path from async _validate_path anthropics/anthropic-sdk-python@6599043 GitHub https://github.com/anthropics/anthropic-sdk-python/commit/6599043eee6e86dce16953fcd1fd828052052be6 関連文書 Release v0.87.0 anthropics/anthropic-sdk-python GitHub https://github.com/anthropics/anthropic-sdk-python/releases/tag/v0.87.0 2026-04-21T10:48:18+09:00 2026-04-21T10:48:18+09:00