Версии OpenClaw 2026.1.29-beta.1 до 2026.2.1 содержат уязвимость обхода пути при установке плагина, которая позволяет именам пакетов вредоносных плагинов выходить из каталога расширений. Злоумышленники могут создавать имена пакетов с ограниченной областью действия, содержащие последовательности обхода пути, такие как .., для записи файлов за пределами предполагаемого каталога установки, когда жертвы запускают команду установки плагинов.
Показать оригинальное описание (EN)
OpenClaw versions 2026.1.29-beta.1 prior to 2026.2.1 contain a path traversal vulnerability in plugin installation that allows malicious plugin package names to escape the extensions directory. Attackers can craft scoped package names containing path traversal sequences like .. to write files outside the intended installation directory when victims run the plugins install command.
Характеристики атаки
Последствия
Строка CVSS v4.0