OpenClaw के सैंडबॉक्स बाइंड वैलिडेशन में सिम्लिंक-पैरेंट मिसिंग-लीफ पाथ्स के माध्यम से allowed-root और blocked-path जांचों को बाईपास किया जा सकता है

यह भेद्यता एक हमलावर को openclaw के सैंडबॉक्स से बाहर निकलने और सिस्टम पर अनधिकृत फ़ाइलों तक पहुंचने की अनुमति दे सकती है। हमलावर सिंबलिंक्ड पैरेंट और गैर-मौजूद लीफ पाथ का उपयोग करके बाइंड-सोर्स सत्यापन को बाईपास कर सकता है, जिससे वे मनमाने ढंग से फ़ाइलों को माउंट कर सकते हैं। इससे डेटा चोरी, सिस्टम समझौता या अन्य दुर्भावनापूर्ण गतिविधियाँ हो सकती हैं। इस भेद्यता का प्रभाव उन अनुप्रयोगों पर महत्वपूर्ण हो सकता है जो openclaw का उपयोग संवेदनशील डेटा को संभालने या सुरक्षित वातावरण बनाने के लिए करते हैं।

Applications and services utilizing openclaw to sandbox untrusted code or processes are at risk. This includes Node.js applications that rely on openclaw for isolation or security. Developers using openclaw in their projects should prioritize patching.

• nodejs / server:

  npm list openclaw

• nodejs / server:

  grep -r 'validateBindMounts' /path/to/node_modules/openclaw/

• nodejs / supply-chain: Check package.json for dependencies on vulnerable versions of openclaw.

1. 2026-03-03Disclosure

   disclosure

2. 2026-03-03Patch

   patch

1. आरक्षित2026-02-19
2. प्रकाशित2026-03-03
3. संशोधित2026-03-18
4. EPSS अद्यतन2026-03-25

इस भेद्यता को कम करने के लिए, openclaw को संस्करण 2026.2.24 या बाद के संस्करण में अपग्रेड करने की अनुशंसा की जाती है। यदि अपग्रेड संभव नहीं है, तो एक अस्थायी समाधान के रूप में, फ़ाइल सिस्टम अनुमतियों को सख्त करना और बाइंड माउंट के लिए उपयोग किए जा सकने वाले पथों को सीमित करना शामिल हो सकता है। वेब एप्लिकेशन फ़ायरवॉल (WAF) नियमों को लागू करने से भी अनधिकृत फ़ाइल एक्सेस प्रयासों को रोकने में मदद मिल सकती है। openclaw के नवीनतम संस्करण में अपग्रेड करने के बाद, यह सत्यापित करें कि बाइंड माउंट सही ढंग से काम कर रहे हैं और कोई अनधिकृत फ़ाइल एक्सेस नहीं हो रहा है।