Plateforme
nodejs
Composant
openclaw
Corrigé dans
2026.2.19
2026.2.19
Une vulnérabilité de type Path Traversal a été découverte dans OpenClaw, affectant les versions antérieures à 2026.2.19. Cette faille exploite une mauvaise gestion des clés média Feishu, permettant à un attaquant d'écrire des fichiers arbitraires sur le système. La mise à jour vers la version 2026.2.19 corrige cette vulnérabilité.
Cette vulnérabilité permet à un attaquant de contourner les contrôles d'accès et d'écrire des fichiers en dehors du répertoire temporaire prévu par OpenClaw (os.tmpdir()). L'attaquant doit être capable de contrôler les clés média Feishu renvoyées au client, par exemple en compromettant le chemin de réponse en amont. Bien que l'écriture soit limitée aux permissions du processus OpenClaw, cela peut conduire à la corruption de données, à l'exécution de code malveillant si des fichiers exécutables sont écrits, ou à la prise de contrôle du système. Cette vulnérabilité est similaire à d'autres failles de traversal de chemin qui ont permis l'exécution de code à distance sur des systèmes compromis.
Cette vulnérabilité a été rendue publique le 2026-03-03. Il n'y a pas d'indication d'une exploitation active à ce jour, mais la disponibilité d'une preuve de concept (PoC) pourrait changer cette situation. La vulnérabilité est actuellement répertoriée sur le NVD et CISA. La probabilité d'exploitation est considérée comme moyenne en raison de la nécessité de contrôler les clés média Feishu.
Organizations using OpenClaw for collaborative knowledge management, particularly those integrated with Feishu for media sharing, are at risk. Shared hosting environments where OpenClaw is deployed alongside other applications may also be vulnerable if the attacker can compromise another application and leverage it to manipulate Feishu media keys.
• nodejs: Monitor OpenClaw logs for requests containing unusual characters in the imageKey or fileKey parameters. Use grep to search for patterns like ../ or ..\ in request URLs.
grep 'imageKey=.*\.\./' /var/log/openclaw/access.log
grep 'fileKey=.*\.\./' /var/log/openclaw/access.log• generic web: Examine access logs for requests to the media download endpoint with suspicious query parameters. Use curl to test the endpoint with crafted parameters.
curl 'https://your-openclaw-instance/download?imageKey=../../../../etc/passwd' -sdisclosure
patch
Statut de l'Exploit
EPSS
0.05% (percentile 17%)
CISA SSVC
Vecteur CVSS
La solution la plus efficace est de mettre à jour OpenClaw vers la version 2026.2.19 ou ultérieure, qui corrige cette vulnérabilité. En attendant, des mesures d'atténuation peuvent être mises en place. Il est crucial de valider et de désinfecter toutes les clés média Feishu avant de les utiliser dans la construction de chemins de fichiers. L'utilisation d'une liste blanche de caractères autorisés dans les clés média peut aider à prévenir les attaques de traversal. Surveillez les journaux d'accès pour détecter des tentatives d'écriture de fichiers en dehors du répertoire temporaire. Si possible, configurez un pare-feu d'application web (WAF) pour bloquer les requêtes contenant des séquences de traversal de chemin.
Actualice OpenClaw a la versión 2026.2.19 o posterior. Esta versión corrige la vulnerabilidad de path traversal en el manejo de archivos temporales de Feishu media.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-22171 is a Path Traversal vulnerability in OpenClaw that allows attackers to write arbitrary files by manipulating Feishu media keys. It has a CVSS score of 8.2 (HIGH).
You are affected if you are running OpenClaw versions prior to 2026.2.19 and are using Feishu integration for media downloads.
Upgrade OpenClaw to version 2026.2.19 or later. Consider implementing WAF rules to filter suspicious parameters as a temporary workaround.
There is currently no evidence of active exploitation in the wild, and no public proof-of-concept code has been released.
Refer to the OpenClaw security advisories on their official website or GitHub repository for the latest information.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.