← Back
CVE-2026-45224
high
CVSS 7.1
Crabbox contains a path traversal vulnerability in the Islo provider's workspace path resolution
Summary
Crabbox contains a path traversal vulnerability in the Islo provider's workspace path resolution
AI summary openai / gpt-4o
Crabboxのバージョン0.9.0未満におけるIsloプロバイダのワークスペースパス解決にパストラバーサルの脆弱性があります。攻撃者は意図されたディレクトリ外へのパスを供給し、任意のファイル削除や上書きを行うことが可能です。
❓ What is the problem
CrabboxのIsloプロバイダでのワークスペースパス解決におけるパストラバーサルの脆弱性。
📍 Affected scope
Crabboxのバージョン0.9.0未満のIsloプロバイダ。
🔥 Severity
攻撃者が意図されたディレクトリ外へのパスを供給可能で、重要なファイルの削除や改ざんにつながる可能性があるため。
🔧 How to fix
Crabboxをバージョン0.9.0以降にアップデートする。
🛡️ Workaround
sync.deleteを無効化し、信頼できる設定ファイルのみを使用する。
🔍 Detection
信頼できない設定ファイルが存在していないか確認し、設定でパスが意図しないディレクトリにアクセス可能かどうかを点検する。
Affected packages
go
github.com/openclaw/crabbox
[{"type":"SEMVER","events":[{"introduced":"0"},{"fixed":"0.9.0"}]}]
References
- advisory https://nvd.nist.gov/vuln/detail/CVE-2026-45224
- package https://github.com/openclaw/crabbox
- web https://github.com/openclaw/crabbox/commit/6b07193fb5670aac315ea47215651c67b8127868
- web https://github.com/openclaw/crabbox/pull/65
- web https://github.com/openclaw/crabbox/releases/tag/v0.9.0
- web https://www.vulncheck.com/advisories/crabbox-path-traversal-via-islo-provider-workspace-resolution
- web https://github.com/advisories/GHSA-3cjv-h753-qf7h