Версии OpenClaw до 2026.2.26 содержат уязвимость обхода пути при проверке границ рабочей области, которая позволяет злоумышленникам записывать файлы за пределами рабочей области через символические ссылки внутри рабочей области, указывающие на несуществующие внекорневые цели. Уязвимость существует потому, что проверка границ неправильно разрешает псевдонимы, позволяя первой операции записи выйти за границу рабочей области и создать файлы в произвольных местах.
Показать оригинальное описание (EN)
OpenClaw versions prior to 2026.2.26 contain a path traversal vulnerability in workspace boundary validation that allows attackers to write files outside the workspace through in-workspace symlinks pointing to non-existent out-of-root targets. The vulnerability exists because the boundary check improperly resolves aliases, permitting the first write operation to escape the workspace boundary and create files in arbitrary locations.
Характеристики атаки
Последствия
Строка CVSS v4.0
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Openclaw Openclaw
cpe:2.3:a:openclaw:openclaw:*:*:*:*:*:node.js:*:*
|
— |
2026.2.26
|