प्लेटफ़ॉर्म
nodejs
घटक
openclaw
में ठीक किया गया
2026.2.15
2026.2.14
CVE-2026-26321 openclaw एक्सटेंशन में एक फ़ाइल रीड वल्नरेबिलिटी है, जहाँ sendMediaFeishu फ़ंक्शन हमलावर-नियंत्रित mediaUrl मानों को स्थानीय फ़ाइल सिस्टम पथ के रूप में मानता है और उन्हें सीधे पढ़ता है। इससे हमलावर संवेदनशील डेटा तक पहुँच सकता है। यह वल्नरेबिलिटी openclaw के संस्करणों < 2026.2.14 को प्रभावित करती है, और इसे 2026.2.14 या बाद के संस्करण में अपग्रेड करके ठीक किया जा सकता है।
यह वल्नरेबिलिटी हमलावरों को स्थानीय फ़ाइलों को पढ़ने की अनुमति देती है यदि वे किसी तरह से टूल कॉल को प्रभावित कर सकते हैं, चाहे सीधे या प्रॉम्प्ट इंजेक्शन के माध्यम से। हमलावर /etc/passwd जैसी फ़ाइल पथों को mediaUrl के रूप में प्रदान करके संवेदनशील जानकारी, जैसे उपयोगकर्ता नाम और हैश, निकाल सकते हैं। यह जानकारी सिस्टम पर आगे के हमलों के लिए इस्तेमाल की जा सकती है, जैसे विशेषाधिकारों को बढ़ाना या डेटा को चुराना। इस प्रकार की वल्नरेबिलिटी का शोषण करने से सिस्टम की सुरक्षा और गोपनीयता गंभीर रूप से खतरे में पड़ सकती है।
यह CVE 2026-02-17 को प्रकाशित किया गया था। वर्तमान में, इस वल्नरेबिलिटी के सक्रिय शोषण के बारे में कोई सार्वजनिक जानकारी उपलब्ध नहीं है। हालांकि, चूंकि यह एक फ़ाइल रीड वल्नरेबिलिटी है, इसलिए इसका शोषण करने की संभावना है, खासकर यदि हमलावरों को प्रॉम्प्ट इंजेक्शन के माध्यम से टूल कॉल को प्रभावित करने का तरीका मिल जाता है। इस वल्नरेबिलिटी को CISA KEV में जोड़ा जाना बाकी है।
Applications and systems utilizing the OpenClaw Node.js extension, particularly those with prompt injection vulnerabilities or inadequate input validation, are at risk. This includes environments where the extension is used to process user-supplied data or interact with external services.
• nodejs / supply-chain:
npm list opencLaw• nodejs / supply-chain:
npm audit opencLaw• generic web:
curl -I 'http://your-application/sendMediaFeishu' # Check for endpoint exposuredisclosure
एक्सप्लॉइट स्थिति
EPSS
0.03% (7% शतमक)
CISA SSVC
CVSS वेक्टर
इस वल्नरेबिलिटी को कम करने का सबसे प्रभावी तरीका openclaw को संस्करण 2026.2.14 या बाद के संस्करण में अपग्रेड करना है। यह संस्करण सीधे स्थानीय फ़ाइल रीड को हटाता है और मीडिया लोडिंग को एक सुरक्षित प्रक्रिया के माध्यम से रूट करता है। यदि अपग्रेड करने में समस्या आ रही है, तो अस्थायी रूप से, फ़ायरवॉल नियमों को कॉन्फ़िगर करके या प्रॉक्सी का उपयोग करके mediaUrl पैरामीटर के माध्यम से बाहरी स्रोतों से मीडिया लोडिंग को सीमित किया जा सकता है। अपग्रेड के बाद, यह सुनिश्चित करने के लिए कि वल्नरेबिलिटी ठीक हो गई है, sendMediaFeishu फ़ंक्शन के माध्यम से एक दुर्भावनापूर्ण mediaUrl मान (जैसे /etc/passwd) प्रदान करके सिस्टम का परीक्षण करें।
Actualice OpenClaw a la versión 2026.2.14 o posterior. Esta versión corrige la vulnerabilidad de divulgación de archivos locales al restringir el acceso directo a archivos locales y utilizar helpers reforzados para la carga de medios.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2026-26321 openclaw एक्सटेंशन में एक वल्नरेबिलिटी है जो हमलावरों को mediaUrl के माध्यम से स्थानीय फ़ाइलों को पढ़ने की अनुमति देती है, जिससे डेटा का रिसाव हो सकता है।
यदि आप openclaw के संस्करण < 2026.2.14 चला रहे हैं, तो आप प्रभावित हैं।
openclaw को संस्करण 2026.2.14 या बाद के संस्करण में अपग्रेड करें।
वर्तमान में, इस वल्नरेबिलिटी के सक्रिय शोषण के बारे में कोई सार्वजनिक जानकारी उपलब्ध नहीं है।
आधिकारिक सलाहकार जानकारी के लिए openclaw के आधिकारिक दस्तावेज़ों की जाँच करें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।