Уязвимость обхода пути OpenClaw Canvas, приводящая к раскрытию информации. Эта уязвимость позволяет удаленным злоумышленникам раскрывать конфиденциальную информацию о затронутых установках OpenClaw. Для использования этой уязвимости необходима аутентификация.
Конкретный недостаток существует при обработке параметров пути, предоставляемых конечной точке шлюза холста. Проблема возникает из-за отсутствия надлежащей проверки пути, предоставленного пользователем, перед его использованием в операциях с файлами. Злоумышленник может использовать эту уязвимость для раскрытия информации в контексте учетной записи службы.
Был ZDI-CAN-29312.
Показать оригинальное описание (EN)
OpenClaw Canvas Path Traversal Information Disclosure Vulnerability. This vulnerability allows remote attackers to disclose sensitive information on affected installations of OpenClaw. Authentication is required to exploit this vulnerability. The specific flaw exists within the handling of the path parameters provided to the canvas gateway endpoint. The issue results from the lack of proper validation of a user-supplied path prior to using it in file operations. An attacker can leverage this vulnerability to disclose information in the context of the service account. Was ZDI-CAN-29312.
Характеристики атаки
Последствия
Строка CVSS v3.0