OpenClaw до 2026.3.22 содержит уязвимость обхода пути в загрузчиках мультимедиа Windows, которая принимает URL-адреса файлов удаленного хоста и пути в стиле UNC перед проверкой локального пути. Злоумышленники могут воспользоваться этим, предоставляя размещенные в сети целевые файлы, которые рассматриваются как локальный контент, минуя предполагаемые ограничения доступа.
Показать оригинальное описание (EN)
OpenClaw before 2026.3.22 contains a path traversal vulnerability in Windows media loaders that accepts remote-host file URLs and UNC-style paths before local-path validation. Attackers can exploit this by providing network-hosted file targets that are treated as local content, bypassing intended access restrictions.
Характеристики атаки
Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Условия для атаки
Не требуются
Нет дополнительных условий
Нужны права
Не требуются
Права не нужны
Участие пользователя
Не требуется
Не нужно действие пользователя
Последствия
Конфиденциальность
Низкое
Частичная утечка данных
Целостность
Нет
Нет модификации данных
Доступность
Нет
Нет нарушения работы
Строка CVSS v4.0
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Openclaw Openclaw
cpe:2.3:a:openclaw:openclaw:*:*:*:*:*:node.js:*:*
|
— |
2026.3.22
|
Ссылки 5
https://github.com/openclaw/openclaw/commit/4fd7feb0fd4ec16c48ed983980dba79a09b…
disclosure@vulncheck.com
https://github.com/openclaw/openclaw/commit/630f1479c44f78484dfa21bb407cbe6f171…
disclosure@vulncheck.com
https://github.com/openclaw/openclaw/commit/93880717f1cd34feaa45e74e939b7a52562…
disclosure@vulncheck.com
https://github.com/openclaw/openclaw/security/advisories/GHSA-h3x4-hc5v-v2gm
disclosure@vulncheck.com
https://www.vulncheck.com/advisories/openclaw-remote-file-url-acceptance-in-win…
disclosure@vulncheck.com