| タイトル | 8421bit MiniClaw 0 Path Traversal |
|---|
| 説明 | The executeSkillScript function is vulnerable to Path Traversal (CWE-22).
The function constructs the script path using unsanitized user-controlled inputs (skillName, scriptFile) with path.join(), without validating that the final path stays within the allowed SKILLS_DIR directory. Attackers can use ../ sequences to access arbitrary files on the server filesystem.
More details: https://github.com/8421bit/MiniClaw/issues/5 |
|---|
| ソース | ⚠️ https://github.com/8421bit/MiniClaw/issues/5 |
|---|
| ユーザー | ybdesire (UID 83239) |
|---|
| 送信 | 2026年04月20日 12:54 (1 月 ago) |
|---|
| モデレーション | 2026年05月07日 18:33 (17 days later) |
|---|
| ステータス | 承諾済み |
|---|
| VulDBエントリ | 361901 [8421bit MiniClaw 迄 43905b934cf76489ab28e4d17da28ee97970f91f executeSkillScript src/kernel.ts isPathInside ディレクトリトラバーサル] |
|---|
| ポイント | 20 |
|---|