OpenClaw до 2026.3.11 содержит уязвимость обхода границ песочницы при поэтапной записи fs-bridge, при которой создание и заполнение временных файлов не закрепляются в проверенном родительском каталоге. Злоумышленники могут использовать состояние гонки при изменении псевдонима родительского пути для записи контролируемых злоумышленником байтов за пределы предполагаемого проверенного пути до выполнения последнего шага защищенной замены.
Показать оригинальное описание (EN)
OpenClaw before 2026.3.11 contains a sandbox boundary bypass vulnerability in fs-bridge staged writes where temporary file creation and population are not pinned to a verified parent directory. Attackers can exploit a race condition in parent-path alias changes to write attacker-controlled bytes outside the intended validated path before the final guarded replace step executes.
Характеристики атаки
Последствия
Строка CVSS v4.0
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Openclaw Openclaw
cpe:2.3:a:openclaw:openclaw:*:*:*:*:*:node.js:*:*
|
— |
2026.3.11
|