प्लेटफ़ॉर्म
nodejs
घटक
openclaw
में ठीक किया गया
2026.2.26
2026.2.26
openclaw में एक वर्कस्पेस सीमा उल्लंघन भेद्यता पाई गई है, जहाँ एक इन-वर्कस्पेस सिम्लिंक वर्कस्पेस के बाहर एक गैर-मौजूद पत्ती को इंगित कर सकता है। इससे एक हमलावर वर्कस्पेस की सीमाओं से बाहर फ़ाइलें बना सकता है, जिससे संभावित रूप से संवेदनशील डेटा तक अनधिकृत पहुंच हो सकती है। यह भेद्यता openclaw के संस्करणों <= 2026.2.25 को प्रभावित करती है। संस्करण 2026.2.26 में इस समस्या का समाधान किया गया है।
यह भेद्यता एक हमलावर को वर्कस्पेस की सीमाओं से बाहर फ़ाइलें बनाने की अनुमति देती है। इसका मतलब है कि वे उन फ़ाइलों तक पहुंच प्राप्त कर सकते हैं जिन्हें वे सामान्य रूप से एक्सेस नहीं कर पाएंगे, जैसे कि कॉन्फ़िगरेशन फ़ाइलें या संवेदनशील डेटा। एक हमलावर इस भेद्यता का उपयोग सिस्टम पर नियंत्रण हासिल करने या डेटा चोरी करने के लिए कर सकता है। इस भेद्यता का प्रभाव इस बात पर निर्भर करता है कि वर्कस्पेस के बाहर कौन सी फ़ाइलें मौजूद हैं और उन फ़ाइलों तक किसकी पहुंच है। यदि वर्कस्पेस के बाहर संवेदनशील डेटा संग्रहीत है, तो इस भेद्यता का उपयोग उस डेटा को उजागर करने के लिए किया जा सकता है।
यह भेद्यता अभी तक सक्रिय रूप से शोषण किए जाने की पुष्टि नहीं की गई है, लेकिन सार्वजनिक रूप से उपलब्ध है। CVE को 2026-03-12 को प्रकाशित किया गया था। इस भेद्यता का शोषण करने के लिए एक सार्वजनिक प्रूफ-ऑफ-कॉन्सेप्ट (PoC) उपलब्ध होने की संभावना है, जिससे इसका शोषण होने का जोखिम बढ़ जाता है। इस भेद्यता को CISA KEV सूची में शामिल किया जाना बाकी है।
Node.js projects utilizing the openclaw package, particularly those with relaxed workspace access controls or relying on symlinks for file management, are at risk. Shared hosting environments where multiple projects share the same file system are also potentially vulnerable.
• nodejs / supply-chain:
npm list openclaw• nodejs / supply-chain:
npm audit• nodejs / supply-chain:
find node_modules -name "openclaw*" -type d -print0 | xargs -0 grep -i "workspace boundary"disclosure
एक्सप्लॉइट स्थिति
EPSS
0.07% (22% शतमक)
CISA SSVC
इस भेद्यता को कम करने के लिए, openclaw को संस्करण 2026.2.26 या बाद के संस्करण में अपग्रेड करना आवश्यक है। यदि अपग्रेड करना संभव नहीं है, तो एक अस्थायी समाधान के रूप में, वर्कस्पेस के बाहर सिम्लिंक बनाने से रोकने के लिए फ़ाइल सिस्टम अनुमतियों को कड़ा किया जा सकता है। इसके अतिरिक्त, वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग उन अनुरोधों को ब्लॉक करने के लिए किया जा सकता है जो वर्कस्पेस की सीमाओं से बाहर फ़ाइलों तक पहुंचने का प्रयास करते हैं। अपग्रेड के बाद, यह सुनिश्चित करने के लिए कि भेद्यता ठीक हो गई है, openclaw के नवीनतम संस्करण के साथ सिस्टम का परीक्षण करें।
Actualice OpenClaw a la versión 2026.2.26 o posterior. Esta versión corrige la vulnerabilidad de path traversal que permite la escritura de archivos fuera del workspace a través de symlinks.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2026-32055 openclaw में एक वर्कस्पेस सीमा उल्लंघन भेद्यता है, जहाँ एक सिम्लिंक वर्कस्पेस के बाहर फ़ाइलें बना सकता है। इससे अनधिकृत पहुंच हो सकती है।
यदि आप openclaw के संस्करण <= 2026.2.25 का उपयोग कर रहे हैं, तो आप प्रभावित हैं।
openclaw को संस्करण 2026.2.26 या बाद के संस्करण में अपग्रेड करें।
अभी तक सक्रिय शोषण की पुष्टि नहीं हुई है, लेकिन सार्वजनिक PoC उपलब्ध होने की संभावना है।
openclaw प्रोजेक्ट के आधिकारिक वेबसाइट या npm पैकेज पेज पर जाएँ।
CVSS वेक्टर
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।