anonhaven

CVE-2026-25475

MEDIUM CVSS 3.1: 6,5 EPSS 0.11%
Обновлено 5 февраля 2026
OpenClaw
Параметр Значение
CVSS 6,5 (MEDIUM)
Устранено в версии 2026.1.30
Тип уязвимости CWE-200 (Раскрытие информации), CWE-22 (Обход пути)
Поставщик OpenClaw
Публичный эксплойт Нет

OpenClaw — персональный ИИ-помощник. До версии 2026.1.30 функция isValidMedia() в src/media/parse.ts допускала произвольные пути к файлам, включая абсолютные пути, пути к домашнему каталогу и последовательности обхода каталога. Агент может прочитать любой файл в системе, выведя MEDIA:/path/to/file, передав конфиденциальные данные пользователю/каналу.

Эта проблема исправлена ​​в версии 2026.1.30.

Показать оригинальное описание (EN)

OpenClaw is a personal AI assistant. Prior to version 2026.1.30, the isValidMedia() function in src/media/parse.ts allows arbitrary file paths including absolute paths, home directory paths, and directory traversal sequences. An agent can read any file on the system by outputting MEDIA:/path/to/file, exfiltrating sensitive data to the user/channel. This issue has been patched in version 2026.1.30.

Характеристики атаки

Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Нужны права
Низкие
Нужны базовые права
Участие пользователя
Не требуется
Не нужно действие пользователя

Последствия

Конфиденциальность
Высокое
Полная утечка данных
Целостность
Нет
Нет модификации данных
Доступность
Нет
Нет нарушения работы

Строка CVSS v3.1

Тип уязвимости (CWE)

CWE-200 Information Exposure (Раскрытие информации)
CWE-22 Path Traversal (Обход пути)

Ссылки 1

https://github.com/openclaw/openclaw/security/advisories/GHSA-r8g4-86fx-92mq
security-advisories@github.com
Share Post Share Share Share