漏洞概述 CVE ID: CVE-2026-32013 标题: Incomplete Fix for CVE-2026-32013: Symlink Traversal via IDENTITY.md appendFile in agents.create/update 描述: 这是一个符号链接遍历(Symlink Traversal)漏洞。尽管之前的补丁引入了符号链接解析和工作区边界强制,但在 和 处理程序中, 仍然使用原始路径,缺乏符号链接限制检查。攻击者可以在工作区中放置符号链接(例如指向 ),当调用相关 API 时,攻击者控制的内容会被附加到系统上的任意文件,导致远程代码执行 (RCE)、持久化代码执行或 SSH 访问。 CVSS 评分: 7.1 (High) 影响范围 包名: openclaw 受影响版本: <= 2026.2.22 修复版本: None (截图中显示暂无官方修复版本) POC/利用代码 1. 漏洞代码片段 (Details 部分) 2. PoC 构建与运行命令 (PoC 部分) 修复方案 官方状态: 截图中显示 "Patched versions: None",表明目前官方尚未发布修复版本。 建议**: 开发者需要手动修复 调用,确保在写入文件前检查路径是否为符号链接,或强制使用工作区内的绝对路径,防止符号链接遍历攻击。