平台
nodejs
组件
openclaw
修复版本
2026.2.24
2026.2.24
CVE-2026-27523 是 openclaw 库中的一个安全漏洞,该漏洞允许攻击者绕过沙箱绑定源验证。此漏洞源于在验证绑定挂载时,对符号链接父目录和不存在的叶路径的处理不当。受影响的版本包括 openclaw (npm) 的 2026.2.23 及更早版本。预计将在下一次发布中修复,版本 2026.2.24。
该漏洞允许攻击者通过利用符号链接来绕过 openclaw 沙箱的绑定源验证。攻击者可以构造恶意文件路径,利用符号链接指向系统敏感目录,从而可能导致未经授权的访问或代码执行。攻击者可能能够读取或写入受保护的文件,甚至可能在沙箱环境中执行任意代码。由于 openclaw 通常用于隔离和限制应用程序的访问权限,因此此漏洞的潜在影响非常严重。如果 openclaw 被用于执行不受信任的代码,则攻击者可以利用此漏洞完全控制受影响的系统。
该漏洞已公开披露,并已发布到 NVD 数据库。目前尚未观察到大规模的利用活动,但由于漏洞的严重性和易利用性,预计可能会被攻击者利用。该漏洞的概率评估为中等,表明存在被利用的风险。建议密切关注安全社区的最新动态,并及时采取必要的安全措施。
Applications and services utilizing openclaw to sandbox untrusted code or processes are at risk. This includes Node.js applications that rely on openclaw for isolation or security. Developers using openclaw in their projects should prioritize patching.
• nodejs / server:
npm list openclaw• nodejs / server:
grep -r 'validateBindMounts' /path/to/node_modules/openclaw/• nodejs / supply-chain: Check package.json for dependencies on vulnerable versions of openclaw.
disclosure
patch
漏洞利用状态
EPSS
0.05% (16% 百分位)
CISA SSVC
目前,官方修复版本为 2026.2.24。建议立即升级到此版本以解决此漏洞。如果升级会导致应用程序中断,可以考虑临时回滚到之前的稳定版本,但请注意这只是一个临时解决方案。此外,可以使用 Web 应用程序防火墙 (WAF) 或代理服务器来过滤恶意请求,并阻止利用此漏洞的攻击。监控 openclaw 日志,查找可疑的绑定挂载尝试,可以帮助及早发现攻击。升级后,请验证绑定挂载功能是否正常工作,以确保漏洞已成功修复。
Actualice OpenClaw a la versión 2026.2.24 o posterior. Esta versión corrige la vulnerabilidad de omisión de validación de enlace de sandbox. La actualización evitará que los atacantes eludan las comprobaciones de ruta bloqueada y raíz permitida.
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2026-27523 是 openclaw 库中的一个漏洞,允许攻击者通过符号链接绕过沙箱绑定源验证,可能导致未经授权的访问或代码执行。
如果您正在使用 openclaw (npm) 的 2026.2.23 或更早版本,则您可能受到此漏洞的影响。
请立即升级到 openclaw (npm) 的 2026.2.24 或更高版本以修复此漏洞。
虽然目前尚未观察到大规模的利用活动,但由于漏洞的严重性和易利用性,预计可能会被攻击者利用。
请查阅 openclaw 的官方 GitHub 仓库或 npm 页面以获取更多信息和更新。