Plateforme
nodejs
Composant
openclaw
Corrigé dans
2026.2.15
2026.2.14
La vulnérabilité CVE-2026-26321 affecte OpenClaw, une extension Feishu. Elle permet à la fonction sendMediaFeishu de traiter des valeurs mediaUrl contrôlées par l'attaquant comme des chemins d'accès au système de fichiers local, permettant ainsi la lecture directe de ces fichiers. Cette faille peut permettre à un attaquant d'exfiltrer des informations sensibles. Les versions affectées sont celles antérieures à 2026.2.14, et la correction est disponible depuis la version 2026.2.14.
L'impact de cette vulnérabilité est significatif si un attaquant peut influencer les appels de fonction OpenClaw, directement ou via une injection de prompt. En fournissant des chemins d'accès au système de fichiers, tels que /etc/passwd, comme valeur de mediaUrl, l'attaquant peut potentiellement exfiltrer des fichiers locaux. Cela pourrait compromettre des informations d'identification, des configurations sensibles ou d'autres données critiques stockées sur le système. La surface d'attaque est augmentée si l'extension OpenClaw est intégrée dans un environnement où l'entrée utilisateur est directement utilisée dans les appels de fonction, rendant l'injection de prompt plus facile.
Cette vulnérabilité a été publiée le 17 février 2026. Il n'y a pas d'indication d'une exploitation active ou d'une présence dans le KEV (CISA Known Exploited Vulnerabilities) à ce jour. L'absence de preuve de concept (PoC) publique ne diminue pas le risque, car l'exploitation peut être discrète. La probabilité d'exploitation est considérée comme moyenne en raison de la nécessité d'une influence sur les appels de fonction OpenClaw.
Applications and systems utilizing the OpenClaw Node.js extension, particularly those with prompt injection vulnerabilities or inadequate input validation, are at risk. This includes environments where the extension is used to process user-supplied data or interact with external services.
• nodejs / supply-chain:
npm list opencLaw• nodejs / supply-chain:
npm audit opencLaw• generic web:
curl -I 'http://your-application/sendMediaFeishu' # Check for endpoint exposuredisclosure
Statut de l'Exploit
EPSS
0.03% (percentile 7%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour OpenClaw vers la version 2026.2.14 ou supérieure. Cette version corrige la vulnérabilité en supprimant la lecture directe de fichiers locaux et en acheminant le chargement des médias via un mécanisme renforcé. Si la mise à jour n'est pas immédiatement possible, une solution de contournement temporaire pourrait consister à restreindre l'accès à la fonction sendMediaFeishu et à valider rigoureusement toutes les entrées mediaUrl pour s'assurer qu'elles ne contiennent pas de chemins d'accès au système de fichiers. Après la mise à jour, vérifiez que la fonction sendMediaFeishu ne permet plus la lecture de fichiers locaux en tentant d'utiliser un chemin d'accès invalide comme mediaUrl.
Actualice OpenClaw a la versión 2026.2.14 o posterior. Esta versión corrige la vulnerabilidad de divulgación de archivos locales al restringir el acceso directo a archivos locales y utilizar helpers reforzados para la carga de medios.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-26321 is a Local File Inclusion vulnerability in the OpenClaw Node.js extension, allowing attackers to read local files via manipulated media URLs.
You are affected if you are using OpenClaw versions prior to 2026.2.14 and are vulnerable to prompt injection or have inadequate input validation.
Upgrade OpenClaw to version 2026.2.14 or later. Implement stricter input validation on the mediaUrl parameter as a temporary workaround.
Currently, there is no confirmed active exploitation of CVE-2026-26321, but the vulnerability's nature warrants immediate attention.
Refer to the official OpenClaw project documentation and security advisories for the latest information and updates regarding CVE-2026-26321.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.