प्लेटफ़ॉर्म
nodejs
घटक
openclaw
में ठीक किया गया
2026.2.19
2026.2.19
OpenClaw के Feishu मीडिया डाउनलोड प्रवाह में एक पथ पारगमन भेद्यता (Path Traversal vulnerability) पाई गई है। यह भेद्यता extensions/feishu/src/media.ts फ़ाइल में अस्थायी फ़ाइल पथों को बनाते समय अविश्वसनीय Feishu मीडिया कुंजियों (imageKey / fileKey) का उपयोग करने के कारण है। इस भेद्यता का प्रभाव मनमाना फ़ाइल लेखन (arbitrary file write) है, जो OpenClaw प्रक्रिया की फ़ाइल अनुमतियों के भीतर है। 2026.2.19 में एक फिक्स जारी किया गया है।
यह भेद्यता हमलावर को अस्थायी फ़ाइल पथों को नियंत्रित करने की अनुमति देती है, जिससे वे os.tmpdir() के बाहर फ़ाइलों को लिख सकते हैं। यदि हमलावर Feishu मीडिया कुंजी मानों को नियंत्रित कर सकता है (उदाहरण के लिए, एक समझौता किए गए अपस्ट्रीम प्रतिक्रिया पथ के माध्यम से), तो वे डाउनलोड को निर्देशित करने के लिए इस भेद्यता का शोषण कर सकते हैं। इसका परिणाम मनमाना फ़ाइल लेखन हो सकता है, जिससे संभावित रूप से OpenClaw प्रक्रिया के भीतर संवेदनशील डेटा का समझौता हो सकता है या सिस्टम की अखंडता से समझौता हो सकता है। यह भेद्यता विशेष रूप से चिंताजनक है क्योंकि यह हमलावर को OpenClaw प्रक्रिया के फ़ाइल अनुमतियों के भीतर मनमाने ढंग से फ़ाइलें लिखने की अनुमति देती है।
CVE-2026-22171 को अभी तक KEV में शामिल नहीं किया गया है। EPSS स्कोर उपलब्ध नहीं है। सार्वजनिक रूप से उपलब्ध प्रमाण-अवधारणा (Proof-of-Concept) अभी तक ज्ञात नहीं हैं, लेकिन भेद्यता की प्रकृति के कारण, इसका शोषण किया जा सकता है। यह भेद्यता 2026-03-03 को प्रकाशित हुई थी।
Organizations using OpenClaw for collaborative knowledge management, particularly those integrated with Feishu for media sharing, are at risk. Shared hosting environments where OpenClaw is deployed alongside other applications may also be vulnerable if the attacker can compromise another application and leverage it to manipulate Feishu media keys.
• nodejs: Monitor OpenClaw logs for requests containing unusual characters in the imageKey or fileKey parameters. Use grep to search for patterns like ../ or ..\ in request URLs.
grep 'imageKey=.*\.\./' /var/log/openclaw/access.log
grep 'fileKey=.*\.\./' /var/log/openclaw/access.log• generic web: Examine access logs for requests to the media download endpoint with suspicious query parameters. Use curl to test the endpoint with crafted parameters.
curl 'https://your-openclaw-instance/download?imageKey=../../../../etc/passwd' -sdisclosure
patch
एक्सप्लॉइट स्थिति
EPSS
0.05% (17% शतमक)
CISA SSVC
CVSS वेक्टर
OpenClaw को संस्करण 2026.2.19 या बाद के संस्करण में अपग्रेड करना इस भेद्यता को ठीक करने का सबसे प्रभावी तरीका है। यदि अपग्रेड करना संभव नहीं है, तो एक अस्थायी समाधान के रूप में, Feishu मीडिया कुंजियों के सत्यापन को लागू करने पर विचार करें ताकि यह सुनिश्चित किया जा सके कि वे अस्थायी फ़ाइल पथों में उपयोग करने के लिए सुरक्षित हैं। एक वेब एप्लिकेशन फ़ायरवॉल (WAF) या प्रॉक्सी का उपयोग करके अस्थायी फ़ाइल पथों तक पहुंच को सीमित करना भी एक निवारक उपाय हो सकता है। OpenClaw प्रक्रिया के लिए फ़ाइल अनुमतियों को कम करने से भेद्यता के प्रभाव को भी कम किया जा सकता है।
OpenClaw को संस्करण 2026.2.19 या बाद के संस्करण में अपडेट करें। यह संस्करण Feishu मीडिया अस्थायी फ़ाइल हैंडलिंग में पाथ ट्रैवर्सल (path traversal) भेद्यता को ठीक करता है।
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2026-22171 OpenClaw के Feishu मीडिया डाउनलोड प्रवाह में एक पथ पारगमन भेद्यता है, जो हमलावर को अस्थायी फ़ाइल पथों को नियंत्रित करने की अनुमति देती है।
यदि आप OpenClaw का उपयोग कर रहे हैं और आपने संस्करण 2026.2.19 में अपग्रेड नहीं किया है, तो आप इस भेद्यता से प्रभावित हैं।
CVE-2026-22171 को ठीक करने के लिए, OpenClaw को संस्करण 2026.2.19 या बाद के संस्करण में अपग्रेड करें।
CVE-2026-22171 के सक्रिय शोषण का कोई ज्ञात प्रमाण नहीं है, लेकिन भेद्यता की प्रकृति के कारण, इसका शोषण किया जा सकता है।
आधिकारिक OpenClaw सलाहकार के लिए, कृपया OpenClaw की वेबसाइट या GitHub रिपॉजिटरी देखें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।