Mehrere Schwachstellen (CVE-2026-22171, CVE-2026-22729, CVE-2026-22730) in Openclaw
Zusammenfassung
Versionen von OpenClaw vor 2026.2.19 enthalten eine Pfadtraversal-Schwachstelle im Feishu-Medien-Download-Workflow, bei der unsichere Medien-Keys direkt in temporäre Dateipfade eingebunden werden. Angreifer, die die Medien-Keys kontrollieren können, können so beliebige Dateien im OpenClaw-Prozess erstellen. Ein Patch ist erforderlich, um diese kritische Sicherheitslücke mit CVE-2026-22171 zu schließen.
OpenClaw versions prior to 2026.2.19 contain a path traversal vulnerability in the Feishu media download flow where untrusted media keys are interpolated directly into temporary file paths in extensions/feishu/src/media.ts. An attacker who can control Feishu media key values returned to the client can use traversal segments to escape os.tmpdir() and write arbitrary files within the OpenClaw process permissions.
Quelle: app.opencve.io