平台
nodejs
组件
openclaw
修复版本
2026.2.19
2026.2.19
CVE-2026-32030 是 openclaw 中的一个任意文件读取漏洞。该漏洞源于 stageSandboxMedia 函数对绝对路径处理不当,攻击者可以利用此漏洞通过 SCP 协议读取远程主机上的文件,造成敏感信息泄露。该漏洞影响 openclaw 版本至 2026.2.17,预计将在下一次版本中通过远程附件路径验证修复。
攻击者可以利用此漏洞绕过安全机制,读取远程主机上的任意文件。如果攻击者能够控制 iMessage 远程附件获取功能,他们可以利用此漏洞访问敏感数据,例如配置文件、密钥文件或其他包含敏感信息的文档。该漏洞的潜在影响包括数据泄露、权限提升以及进一步的攻击活动。由于该漏洞涉及 SCP 协议,攻击者可能需要先获得对目标系统的初步访问权限才能利用此漏洞。
目前尚未公开该漏洞的详细利用方案,但由于该漏洞涉及 SCP 协议,且攻击者可以通过控制 iMessage 远程附件获取功能来触发漏洞,因此存在被利用的风险。该漏洞已于 2026 年 3 月 3 日公开,建议尽快采取缓解措施。CISA 尚未将其添加到 KEV 目录,EPSS 评分待定。
Applications utilizing openclaw for iMessage integration, particularly those with channels.imessage.remoteHost enabled, are at risk. Shared hosting environments where multiple applications share the same server and file system are also potentially vulnerable, as a compromise in one application could lead to the exposure of data from others.
• nodejs / supply-chain:
npm list openclaw• nodejs / supply-chain:
npm audit openclaw• generic web:
Inspect Node.js application configuration files for the presence of channels.imessage.remoteHost set to true.
disclosure
patch
漏洞利用状态
EPSS
0.07% (21% 百分位)
CISA SSVC
CVSS 向量
为了缓解 CVE-2026-32030 漏洞的影响,建议立即升级到 openclaw 2026.2.19 或更高版本。如果无法立即升级,可以考虑禁用 iMessage 远程附件获取功能 (channels.imessage.remoteHost)。此外,应加强对远程主机的访问控制,限制 SCP 协议的访问权限,并定期审查系统配置,确保其安全性。升级后,请验证远程附件功能是否正常工作,并检查系统日志中是否存在异常活动。
Actualice OpenClaw a la versión 2026.2.19 o posterior. Esto corrige la vulnerabilidad de path traversal en la función stageSandboxMedia al validar correctamente las rutas de los archivos adjuntos remotos.
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2026-32030 是 openclaw 库中的一个安全漏洞,允许攻击者通过 SCP 协议读取远程主机上的文件,影响版本至 2026.2.17。
如果您正在使用 openclaw 库,并且版本低于 2026.2.19,或者启用了 iMessage 远程附件获取功能,则可能受到此漏洞的影响。
建议立即升级到 openclaw 2026.2.19 或更高版本。如果无法升级,请禁用 iMessage 远程附件获取功能。
目前尚未确认该漏洞正在被积极利用,但由于其潜在影响,建议尽快采取缓解措施。
请查阅 openclaw 官方 GitHub 仓库或相关安全公告,以获取有关此漏洞的更多信息。