OpenClaw версий 2.0.0-beta3 до 2026.2.14 содержит уязвимость обхода пути при загрузке модуля преобразования перехвата, которая позволяет выполнять произвольный JavaScript. Параметрooks.mappings[].transform.module принимает абсолютные пути и последовательности обхода, позволяя злоумышленникам с доступом на запись конфигурации загружать и выполнять вредоносные модули с привилегиями процесса шлюза.
Показать оригинальное описание (EN)
OpenClaw versions 2.0.0-beta3 prior to 2026.2.14 contain a path traversal vulnerability in hook transform module loading that allows arbitrary JavaScript execution. The hooks.mappings[].transform.module parameter accepts absolute paths and traversal sequences, enabling attackers with configuration write access to load and execute malicious modules with gateway process privileges.
Характеристики атаки
Последствия
Строка CVSS v4.0