平台
nodejs
组件
openclaw
修复版本
2026.2.15
2026.2.14
CVE-2026-26321 是 OpenClaw 扩展中发现的一个文件读取漏洞。该漏洞允许攻击者通过操纵 mediaUrl 参数,将攻击者控制的值作为本地文件系统路径处理,并直接读取这些文件。受影响的版本包括 OpenClaw 的所有版本低于 2026.2.14 的版本。建议用户立即升级到 2026.2.14 或更高版本以消除此风险。
该漏洞的潜在影响非常严重。如果攻击者能够影响工具调用(直接或通过提示注入),他们可能能够通过将路径(例如 /etc/passwd)作为 mediaUrl 来提取本地文件。攻击者可以获取敏感信息,例如用户凭据、系统配置等。这种攻击模式可能导致数据泄露、权限提升,甚至可能导致系统被完全控制。虽然目前尚未观察到大规模利用,但由于该漏洞的易利用性,存在被恶意利用的风险。
该漏洞已公开披露,并已发布到 NVD 数据库。目前尚未观察到大规模的利用活动,但由于漏洞的易利用性,存在被恶意利用的风险。该漏洞的 EPSS 评分可能为中等或较高,表明存在被利用的可能性。建议密切关注安全社区的动态,并及时采取必要的安全措施。
Applications and systems utilizing the OpenClaw Node.js extension, particularly those with prompt injection vulnerabilities or inadequate input validation, are at risk. This includes environments where the extension is used to process user-supplied data or interact with external services.
• nodejs / supply-chain:
npm list opencLaw• nodejs / supply-chain:
npm audit opencLaw• generic web:
curl -I 'http://your-application/sendMediaFeishu' # Check for endpoint exposuredisclosure
漏洞利用状态
EPSS
0.03% (7% 百分位)
CISA SSVC
CVSS 向量
解决此漏洞的首要措施是升级到 OpenClaw 2026.2.14 或更高版本。如果升级会破坏现有功能,可以考虑回滚到之前的稳定版本,但请注意这只是临时解决方案。在升级后,务必验证修复是否成功。可以通过尝试使用恶意构造的 mediaUrl 参数来测试,确保文件读取功能已被禁用。此外,可以考虑使用 Web 应用防火墙 (WAF) 或代理服务器来过滤恶意请求,并限制对 sendMediaFeishu 函数的访问。
Actualice OpenClaw a la versión 2026.2.14 o posterior. Esta versión corrige la vulnerabilidad de divulgación de archivos locales al restringir el acceso directo a archivos locales y utilizar helpers reforzados para la carga de medios.
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2026-26321 是 OpenClaw 扩展中发现的一个文件读取漏洞,攻击者可以通过操纵 mediaUrl 参数读取本地文件。
如果您的 OpenClaw 版本低于 2026.2.14,则您可能受到影响。请立即检查您的版本并升级。
升级到 OpenClaw 2026.2.14 或更高版本以修复此漏洞。
目前尚未观察到大规模的利用活动,但由于漏洞的易利用性,存在被恶意利用的风险。
请查阅 OpenClaw 官方网站或 GitHub 仓库以获取最新的安全公告和修复信息。