CVE-2026-56692
ŚrednieCVSS 5.5Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 3 — wyżej niż 3% wszystkich znanych CVE
Streszczenie
NanoClaw przed wersją 2.1.17 zawiera podatność na śledzenie dowiązań symbolicznych w forwardAttachedFiles, co pozwala agentom kontrolowanym przez kontener na wykradanie plików dostępnych na hoście. Walidacja nazw załączników odbywa się jedynie przy użyciu isSafeAttachmentName, co umożliwia złośliwym agentom ujawnienie dowolnych plików z hosta.
Ocena ryzyka
Organizacje mogą być narażone na wyciek wrażliwych danych z hosta, co może prowadzić do poważnych naruszeń bezpieczeństwa i utraty zaufania klientów.
Rekomendacja
Zaleca się aktualizację NanoClaw do wersji 2.1.17 lub nowszej, aby usunąć tę podatność oraz wdrożenie dodatkowych mechanizmów zabezpieczających przed nieautoryzowanym dostępem do plików.
Oryginalny opis (angielski, źródło NVD)
NanoClaw before 2.1.17 contains a symlink following vulnerability in forwardAttachedFiles that allows container-controlled agents to exfiltrate host-readable files. The host validates attachment filenames using only isSafeAttachmentName before copying with fs.copyFileSync, which follows symlinks without containment checks, allowing malicious agents to disclose arbitrary host files.

