OpenClaw версий 2026.1.16-2 до 2026.2.14 содержит уязвимость обхода пути при извлечении архива во время команд установки, которая позволяет записывать произвольные файлы за пределы предполагаемого каталога. Злоумышленники могут создавать вредоносные архивы, которые при извлечении с помощью команд установки навыков, установки перехватчиков, установки плагинов или сигналов установки записывают файлы в произвольные места, обеспечивая сохранение или выполнение кода.
Показать оригинальное описание (EN)
OpenClaw versions 2026.1.16-2 prior to 2026.2.14 contain a path traversal vulnerability in archive extraction during installation commands that allows arbitrary file writes outside the intended directory. Attackers can craft malicious archives that, when extracted via skills install, hooks install, plugins install, or signal install commands, write files to arbitrary locations enabling persistence or code execution.
Характеристики атаки
Последствия
Строка CVSS v4.0