Версии OpenClaw до 2026.2.14 содержат уязвимость обхода пути при зеркалировании навыков в песочнице (должна быть включена), которая использует необработанный параметр имени фронтмена навыка при копировании навыков в рабочую область песочницы. Злоумышленники, предоставляющие созданный пакет навыков с последовательностями обхода, такими как ../, или абсолютными путями в поле имени, могут записывать файлы за пределами корневого каталога рабочей области песочницы.
Показать оригинальное описание (EN)
OpenClaw versions prior to 2026.2.14 contain a path traversal vulnerability in sandbox skill mirroring (must be enabled) that uses the skill frontmatter name parameter unsanitized when copying skills into the sandbox workspace. Attackers who provide a crafted skill package with traversal sequences like ../ or absolute paths in the name field can write files outside the sandbox workspace root directory.
Характеристики атаки
Последствия
Строка CVSS v4.0