Версии OpenClaw до 2026.2.14 содержат уязвимость включения локальных файлов в расширении BlueBubbles (должно быть установлено и включено) при обработке пути к носителю, которая позволяет злоумышленникам читать произвольные файлы из локальной файловой системы. Функция sendBlueBubblesMedia не проверяет параметры mediaPath на соответствие списку разрешений, что позволяет злоумышленникам запрашивать конфиденциальные файлы, такие как /etc/passwd, и удалять их как вложения мультимедиа.
Показать оригинальное описание (EN)
OpenClaw versions prior to 2026.2.14 contain a local file inclusion vulnerability in BlueBubbles extension (must be installed and enabled) media path handling that allows attackers to read arbitrary files from the local filesystem. The sendBlueBubblesMedia function fails to validate mediaPath parameters against an allowlist, enabling attackers to request sensitive files like /etc/passwd and exfiltrate them as media attachments.
Характеристики атаки
Последствия
Строка CVSS v4.0