Версии OpenClaw до 2026.2.14 содержат уязвимость обхода пути в apply_patch, которая позволяет злоумышленникам записывать или удалять файлы за пределами настроенного каталога рабочей области. Когда apply_patch включен без изолированной программной среды файловой системы, злоумышленники могут использовать созданные пути, включая последовательности обхода каталогов или абсолютные пути, чтобы выйти за границы рабочей области и изменить произвольные файлы.
Показать оригинальное описание (EN)
OpenClaw versions prior to 2026.2.14 contain a path traversal vulnerability in apply_patch that allows attackers to write or delete files outside the configured workspace directory. When apply_patch is enabled without filesystem sandbox containment, attackers can exploit crafted paths including directory traversal sequences or absolute paths to escape workspace boundaries and modify arbitrary files.
Характеристики атаки
Последствия
Строка CVSS v4.0