平台
nodejs
组件
openclaw
修复版本
2026.2.26
2026.2.26
CVE-2026-32055 是 openclaw 软件包中的一个工作区边界绕过漏洞。该漏洞允许攻击者在工作区外部创建文件,从而可能导致权限提升和数据泄露。受影响的版本包括 npm openclaw 的所有版本低于或等于 2026.2.25。修复版本为 2026.2.26,建议尽快升级。
此漏洞的根本原因是 openclaw 在验证工作区路径时,未能正确处理指向工作区外部的非存在叶子节点的符号链接。攻击者可以通过构造一个指向工作区外部的符号链接,并利用第一个写入操作绕过验证,从而在工作区外部创建文件。这可能导致攻击者写入敏感文件,修改系统配置,甚至执行恶意代码,从而获得对系统的控制权。由于 openclaw 通常用于构建和开发环境,因此该漏洞可能影响大量项目和开发人员。
目前尚未公开发现针对此漏洞的利用代码,但由于漏洞的严重性和潜在影响,建议尽快采取缓解措施。该漏洞已发布到 NVD 数据库,CISA 尚未将其添加到 KEV 目录。根据漏洞描述,攻击者可以通过构造特定的符号链接来利用此漏洞,因此存在被利用的风险。
Node.js projects utilizing the openclaw package, particularly those with relaxed workspace access controls or relying on symlinks for file management, are at risk. Shared hosting environments where multiple projects share the same file system are also potentially vulnerable.
• nodejs / supply-chain:
npm list openclaw• nodejs / supply-chain:
npm audit• nodejs / supply-chain:
find node_modules -name "openclaw*" -type d -print0 | xargs -0 grep -i "workspace boundary"disclosure
漏洞利用状态
EPSS
0.07% (22% 百分位)
CISA SSVC
缓解此漏洞的首要措施是升级到 openclaw 的修复版本 2026.2.26 或更高版本。如果由于兼容性问题无法立即升级,可以考虑以下临时缓解措施:首先,严格限制工作区目录的访问权限,确保只有授权用户才能写入。其次,实施文件完整性监控,以便及时检测到工作区外部的意外文件创建。最后,审查所有使用 openclaw 的构建脚本和配置,确保没有潜在的漏洞利用点。升级后,请验证新版本是否正确安装并运行,确认漏洞已成功修复。
Actualice OpenClaw a la versión 2026.2.26 o posterior. Esta versión corrige la vulnerabilidad de path traversal que permite la escritura de archivos fuera del workspace a través de symlinks.
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2026-32055 是 openclaw 软件包中发现的工作区边界绕过漏洞,允许攻击者在工作区外部创建文件。CVSS 评分为 7.6 (高),影响 npm openclaw 的所有版本低于或等于 2026.2.25。
如果您正在使用 npm openclaw 的版本低于或等于 2026.2.25,则您可能受到此漏洞的影响。请立即升级到 2026.2.26 或更高版本。
要修复此漏洞,请将 openclaw 升级到 2026.2.26 或更高版本。可以使用 npm 命令 npm install openclaw@latest 进行升级。
目前尚未公开发现针对此漏洞的利用代码,但由于漏洞的严重性和潜在影响,建议尽快采取缓解措施。
请访问 openclaw 的官方 GitHub 仓库或 npm 页面,查找关于 CVE-2026-32055 的安全公告。
CVSS 向量