← Retour
CVE-2026-45224
high
CVSS 7.1
Crabbox contains a path traversal vulnerability in the Islo provider's workspace path resolution
Résumé
Crabbox contains a path traversal vulnerability in the Islo provider's workspace path resolution
Résumé IA openai / gpt-4o
Une vulnérabilité référencée **CVE-2026-45224** a été découverte dans path-traversal.
Des attaquants peuvent cibler un point d'entrée spécifique comme ``sprite`` à distance pour détourner le produit.
Les données peuvent être altérées par des attaquants. Score CVSS : 7.1/10.
Action : appliquez le correctif officiel de l'éditeur.
En cas de doute, contactez votre service informatique ou cherchez « path-traversal CVE-2026-45224 » sur le site de l'éditeur.
CVE-2026-45224 (path-traversal) — CWE-22 / CVSS v3 7.1
Vecteur d'attaque : local / non authentifié
Surface d'attaque : `sprite` / `devbox`
Plan : 1) Audit SBOM, 2) Mise à jour staging→prod, 3) Surveillance WAF/proxy sur les endpoints affectés, 4) Recherche d'IOC dans les logs.
Réfs : voir GHSA / avis éditeur / version corrigée liés sur cette page.
❓ Quel est le problème
CrabboxのIsloプロバイダでのワークスペースパス解決におけるパストラバーサルの脆弱性。
📍 Périmètre concerné
Crabboxのバージョン0.9.0未満のIsloプロバイダ。
🔥 Gravité
攻撃者が意図されたディレクトリ外へのパスを供給可能で、重要なファイルの削除や改ざんにつながる可能性があるため。
🔧 Comment corriger
Crabboxをバージョン0.9.0以降にアップデートする。
🛡️ Contournement
sync.deleteを無効化し、信頼できる設定ファイルのみを使用する。
🔍 Détection
信頼できない設定ファイルが存在していないか確認し、設定でパスが意図しないディレクトリにアクセス可能かどうかを点検する。
Paquets affectés
go
github.com/openclaw/crabbox
[{"type":"SEMVER","events":[{"introduced":"0"},{"fixed":"0.9.0"}]}]
Références
- advisory https://nvd.nist.gov/vuln/detail/CVE-2026-45224
- package https://github.com/openclaw/crabbox
- web https://github.com/openclaw/crabbox/commit/6b07193fb5670aac315ea47215651c67b8127868
- web https://github.com/openclaw/crabbox/pull/65
- web https://github.com/openclaw/crabbox/releases/tag/v0.9.0
- web https://www.vulncheck.com/advisories/crabbox-path-traversal-via-islo-provider-workspace-resolution
- web https://github.com/advisories/GHSA-3cjv-h753-qf7h