CVE-2026-26329 in OpenClawالمعلومات

الملخص

بحسب VulDB • 26/05/2026

OpenClaw هو مساعد ذكاء اصطناعي شخصي. قبل الإصدار 2026.2.14، يمكن للمهاجمين المصادق عليهم قراءة ملفات عشوائية من مضيف البوابة (Gateway) عن طريق توفير مسارات مطلقة أو تسلسلات عبور المسار (path traversal) إلى إجراء `upload` الخاص بأداة المتصفح. كانت الخادم تمرر هذه المسارات إلى واجهات برمجة التطبيقات `setInputFiles()` الخاصة بـ Playwright دون تقييدها بجذر آمن. يجب على المهاجم الوصول إلى سطح HTTP الخاص بالبوابة (أو استدعاء نقاط نهاية التحكم في المتصفح نفسها)؛ وتقديم مصادقة صالحة للبوابة (رمز حامل/كلمة مرور)، كما هو مطلوب بواسطة تكوين البوابة (في الإعدادات الافتراضية الشائعة، ترتبط البوابة بواجهة التكرار loopback ويولد معالج الإعداد الأولي رمز بوابة حتى لواجهة التكرار)؛ وامتلاك أداة `browser` مسموح بها بواسطة سياسة الأدوات للجلسة/السياق المستهدف (وتمكين دعم المتصفح). إذا قام مشغل النظام بتعريض البوابة لما وراء واجهة التكرار (شبكة محلية/شبكة ذيلية/ربط مخصص، وكيل عكسي، أنفاق، إلخ)، تزداد الآثار المترتبة على ذلك وفقاً لذلك. بدءاً من الإصدار 2026.2.14، تم حصر مسارات الرفع الآن ضمن جذر الرفع المؤقت الخاص بـ OpenClaw (`DEFAULT_UPLOAD_DIR`) ويتم رفض مسارات العبور/الهروب.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

مسؤول

GitHub M

حجز

13/02/2026

إفشاء

20/02/2026

الاعتدال

تمت الموافقة

إدخال

VDB-347010

CPE

جاهز

CWE

CWE-22 (مؤكد)

CVSS

6.5 (NVD)

EPSS

0.00018

KEV

لا

النشاطات

منخفض جدًا

المصادر

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-26329
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-26329
CVE Details	https://www.cvedetails.com/cve/CVE-2026-26329/

التالي ▸نظرة عامة ◂ السابق

Want to know what is going to be exploited?

We predict KEV entries!