OpenClaw में stageSandboxMedia के माध्यम से संवेदनशील फ़ाइल प्रकटीकरण (sensitive file disclosure) की भेद्यता

यह भेद्यता हमलावर को मनमाना फ़ाइल पथों को स्टेजिंग निर्देशिका में कॉपी करने की अनुमति देती है, जिससे गोपनीय डेटा का खुलासा हो सकता है। हमलावर iMessage रिमोट अटैचमेंट फ़ेचिंग सुविधा का दुरुपयोग करके, सिस्टम पर संवेदनशील फ़ाइलों तक पहुंच प्राप्त कर सकता है। इस भेद्यता का उपयोग करके, हमलावर गोपनीय डेटा चुरा सकता है, सिस्टम को समझौता कर सकता है, या अन्य दुर्भावनापूर्ण गतिविधियाँ कर सकता है। यह भेद्यता विशेष रूप से उन प्रणालियों के लिए गंभीर है जो संवेदनशील जानकारी को संसाधित करने के लिए openclaw का उपयोग करती हैं।

Applications utilizing openclaw for iMessage integration, particularly those with channels.imessage.remoteHost enabled, are at risk. Shared hosting environments where multiple applications share the same server and file system are also potentially vulnerable, as a compromise in one application could lead to the exposure of data from others.

• nodejs / supply-chain:

  npm list openclaw

• nodejs / supply-chain:

  npm audit openclaw

• generic web: Inspect Node.js application configuration files for the presence of channels.imessage.remoteHost set to true.

1. 2026-03-03Disclosure

   disclosure

2. 2026-03-03Patch

   patch

1. आरक्षित2026-03-10
2. प्रकाशित2026-03-03
3. संशोधित2026-03-27
4. EPSS अद्यतन2026-03-27

इस भेद्यता को कम करने के लिए, openclaw को संस्करण 2026.2.19 या बाद के संस्करण में अपग्रेड करने की अनुशंसा की जाती है। यदि अपग्रेड संभव नहीं है, तो रिमोट अटैचमेंट फ़ेचिंग सुविधा को अक्षम करने पर विचार करें (channels.imessage.remoteHost को false पर सेट करें)। इसके अतिरिक्त, फ़ायरवॉल नियमों को लागू करके या वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करके अनधिकृत पहुंच को सीमित करें। अपग्रेड के बाद, यह सुनिश्चित करने के लिए कि भेद्यता ठीक हो गई है, सिस्टम को स्कैन करें।