Katalog CVE

CVE-2026-56692

ŚrednieCVSS 5.5
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.13%

Percentyl 3 — wyżej niż 3% wszystkich znanych CVE

Streszczenie

NanoClaw przed wersją 2.1.17 zawiera podatność na śledzenie dowiązań symbolicznych w forwardAttachedFiles, co pozwala agentom kontrolowanym przez kontener na wykradanie plików dostępnych na hoście. Walidacja nazw załączników odbywa się jedynie przy użyciu isSafeAttachmentName, co umożliwia złośliwym agentom ujawnienie dowolnych plików z hosta.

Ocena ryzyka

Organizacje mogą być narażone na wyciek wrażliwych danych z hosta, co może prowadzić do poważnych naruszeń bezpieczeństwa i utraty zaufania klientów.

Rekomendacja

Zaleca się aktualizację NanoClaw do wersji 2.1.17 lub nowszej, aby usunąć tę podatność oraz wdrożenie dodatkowych mechanizmów zabezpieczających przed nieautoryzowanym dostępem do plików.

Oryginalny opis (angielski, źródło NVD)

NanoClaw before 2.1.17 contains a symlink following vulnerability in forwardAttachedFiles that allows container-controlled agents to exfiltrate host-readable files. The host validates attachment filenames using only isSafeAttachmentName before copying with fs.copyFileSync, which follows symlinks without containment checks, allowing malicious agents to disclose arbitrary host files.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS