База данных уязвимостей CVE

Версии OpenClaw до 2026.2.19 создают объекты RegExp непосредственно из неэкранированных метаданных упоминания Feishu в функции StripBotMention, что позволяет внедрить регулярное выражение и вызвать отказ в обслуживании. Злоумышленники могут создавать шаблоны …

Версии OpenClaw до 2026.2.21 не фильтруют опасные переменные среды управления процессами из config env.vars, что позволяет выполнять код во время запуска. Злоумышленники могут внедрить переменные, такие как NODE_OPTIONS или LD_*, …

Версии OpenClaw до 2026.2.23 содержат уязвимость обхода одобрения исполнительного директора в режиме списка разрешений, при которой разрешения «всегда разрешать» можно обойти с помощью нераспознанных оболочек мультиплексорной оболочки, таких как команды …

Версии OpenClaw до 2026.2.22 внедряют заголовок x-OpenClaw-relay-token в пробный трафик Chrome CDP на петлевых интерфейсах, позволяя локальным процессам перехватывать токен аутентификации шлюза. Злоумышленник, контролирующий порт обратной связи, может перехватить зонды …

Версии OpenClaw до 2026.2.19 содержат уязвимость обхода пути в потоке загрузки мультимедиа Feishu, из-за которой ненадежные ключи мультимедиа интерполируются непосредственно во временные пути к файлам в Extensions/feishu/src/media.ts. Злоумышленник, который может …

Версии OpenClaw до 2026.2.22 с дополнительным плагином BlueBubbles содержат уязвимость обхода контроля доступа, из-за которой пустая конфигурацияallowFrom приводит к неэффективности сопряжения dmPolicy и ограничений белого списка. Удаленные злоумышленники могут отправлять …

Версии OpenClaw до 2026.2.22 содержат уязвимость обхода белого списка в конфигурации SafeBins, которая позволяет злоумышленникам вызывать внешние помощники с помощью опции compress-program. Когда сортировка явно добавлена ​​в Tools.exec.safeBins, удаленные злоумышленники …

Версии OpenClaw до 2026.2.21 содержат уязвимость несоответствия целостности утверждения в system.run, которая позволяет аутентифицированным операторам выполнять произвольные конечные аргументы после cmd.exe /c, в то время как текст утверждения отражает только …

Next.js — это платформа React для создания полнофункциональных веб-приложений. Начиная с версии 9.5.0 и до версий 15.5.13 и 16.1.7, когда Next.js переписывает прокси-трафик на внешний бэкэнд, созданный запрос DELETE/OPTIONS с …

xiaoheiFS — это автономная финансовая и операционная система для предприятий, предоставляющих облачные услуги. В версиях до 0.3.15 включительно конечная точка AdminPaymentPluginUpload позволяет администраторам загружать любой файл в плагины/платеж/. Он проверяет …