Plataforma
nodejs
Componente
openclaw
Corrigido em
2026.2.19
2026.2.19
Uma vulnerabilidade de Path Traversal foi descoberta no OpenClaw, especificamente no fluxo de download de mídia Feishu. A falha reside na forma como as chaves de mídia Feishu não confiáveis (imageKey / fileKey) são utilizadas na construção de caminhos de arquivos temporários. Isso permite que segmentos de traversal escapem do diretório temporário, possibilitando a escrita de arquivos fora do diretório os.tmpdir().
O impacto primário desta vulnerabilidade é a possibilidade de escrita arbitrária de arquivos dentro do processo do OpenClaw, sujeito às permissões de arquivo do processo. Um atacante que consiga controlar os valores das chaves de mídia Feishu (por exemplo, através de uma resposta comprometida do servidor) pode manipular o local onde os arquivos são salvos. Embora a escrita seja restrita ao contexto do processo OpenClaw, isso pode levar à corrupção de dados, execução de código malicioso (se o processo tiver permissões elevadas) ou negação de serviço. A exploração bem-sucedida depende da capacidade de influenciar as chaves de mídia, o que pode ser um desafio dependendo da arquitetura do sistema.
A vulnerabilidade foi divulgada em 2026-03-03. Não há informações disponíveis sobre a adição a KEV ou a existência de exploits públicos. A probabilidade de exploração é considerada baixa a média, dependendo da facilidade com que um atacante pode controlar as chaves de mídia Feishu. A vulnerabilidade é semelhante a outros casos de Path Traversal onde a falta de validação de entrada permite a escrita arbitrária de arquivos.
Organizations using OpenClaw for collaborative knowledge management, particularly those integrated with Feishu for media sharing, are at risk. Shared hosting environments where OpenClaw is deployed alongside other applications may also be vulnerable if the attacker can compromise another application and leverage it to manipulate Feishu media keys.
• nodejs: Monitor OpenClaw logs for requests containing unusual characters in the imageKey or fileKey parameters. Use grep to search for patterns like ../ or ..\ in request URLs.
grep 'imageKey=.*\.\./' /var/log/openclaw/access.log
grep 'fileKey=.*\.\./' /var/log/openclaw/access.log• generic web: Examine access logs for requests to the media download endpoint with suspicious query parameters. Use curl to test the endpoint with crafted parameters.
curl 'https://your-openclaw-instance/download?imageKey=../../../../etc/passwd' -sdisclosure
patch
Status do Exploit
EPSS
0.05% (percentil 17%)
CISA SSVC
Vetor CVSS
A mitigação imediata é atualizar o OpenClaw para a versão 2026.2.19 ou superior, que corrige a vulnerabilidade. Se a atualização imediata não for possível, considere implementar medidas de segurança adicionais. Implemente validação rigorosa das chaves de mídia Feishu antes de usá-las na construção de caminhos de arquivos. Restrinja as permissões do processo OpenClaw para minimizar o impacto potencial de uma exploração bem-sucedida. Monitore logs de acesso e erros em busca de padrões suspeitos de escrita de arquivos fora do diretório temporário. Após a atualização, confirme a correção verificando se as chaves de mídia são devidamente validadas e os arquivos são salvos apenas no diretório temporário esperado.
Atualize OpenClaw para a versão 2026.2.19 ou posterior. Esta versão corrige a vulnerabilidade de path traversal no tratamento de arquivos temporários de Feishu.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-22171 é uma vulnerabilidade de Path Traversal no OpenClaw que permite a escrita arbitrária de arquivos devido à falta de validação de chaves de mídia Feishu.
Se você estiver usando uma versão do OpenClaw anterior a 2026.2.19 e processar mídia Feishu, você está potencialmente afetado.
Atualize o OpenClaw para a versão 2026.2.19 ou superior. Se a atualização não for possível, implemente validação rigorosa das chaves de mídia Feishu.
Atualmente, não há relatos de exploração ativa, mas a vulnerabilidade é considerada potencialmente explorável.
Consulte a documentação oficial do OpenClaw ou o repositório do projeto para obter informações sobre a correção e o aviso de segurança.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.