Версии OpenClaw до 2026.2.24 содержат уязвимость обхода пути, при которой абсолютные пути с префиксом @ обходят проверку границ файловой системы только в рабочей области из-за несоответствия канонизации. Злоумышленники могут воспользоваться этим, создав пути с префиксом @, такие как @/etc/passwd, для чтения файлов за пределами предполагаемой границы рабочей области, когда Tools.fs.workspaceOnly включен.
Показать оригинальное описание (EN)
OpenClaw versions prior to 2026.2.24 contain a path traversal vulnerability where @-prefixed absolute paths bypass workspace-only file-system boundary validation due to canonicalization mismatch. Attackers can exploit this by crafting @-prefixed paths like @/etc/passwd to read files outside the intended workspace boundary when tools.fs.workspaceOnly is enabled.
Характеристики атаки
Последствия
Строка CVSS v4.0
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Openclaw Openclaw
cpe:2.3:a:openclaw:openclaw:*:*:*:*:*:node.js:*:*
|
— |
2026.2.24
|