| tiêu đề | 8421bit MiniClaw 0 Path Traversal |
|---|
| Mô tả | The executeSkillScript function is vulnerable to Path Traversal (CWE-22).
The function constructs the script path using unsanitized user-controlled inputs (skillName, scriptFile) with path.join(), without validating that the final path stays within the allowed SKILLS_DIR directory. Attackers can use ../ sequences to access arbitrary files on the server filesystem.
More details: https://github.com/8421bit/MiniClaw/issues/5 |
|---|
| Nguồn | ⚠️ https://github.com/8421bit/MiniClaw/issues/5 |
|---|
| Người dùng | ybdesire (UID 83239) |
|---|
| Đệ trình | 20/04/2026 12:54 (cách đây 2 các tháng) |
|---|
| Kiểm duyệt | 07/05/2026 18:33 (17 days later) |
|---|
| Trạng thái | được chấp nhận |
|---|
| Mục VulDB | 361901 [8421bit MiniClaw đến 43905b934cf76489ab28e4d17da28ee97970f91f executeSkillScript src/kernel.ts isPathInside duyệt thư mục] |
|---|
| điểm | 20 |
|---|