漏洞概述 该网页截图描述了一个名为“[Security] Upstream critical remediation plan: 3 active fixes + Lite verification #30”的安全问题。主要涉及三个活跃的安全修复和一个轻量级验证项。 影响范围 1. 生产环境无令牌认证和未签名的Webhook接受 - 影响:在生产环境中,无令牌认证和未签名的Webhook接受可能导致安全风险。 - 修复方案: - 仅允许空网关令牌用于回环本地开发或显式不安全开发。 - 外部可达的HTTP/WebSocket模式在健康检查之前需要显式不安全开发选项。 - Feshu/Pancake Webhook处理程序在缺少或不匹配验证材料时不发送未验证事件。 - 保留提供程序安全的Webhook响应代码,并在重试/暂停日志中记录安全事件。 2. FSBridge命令注入在沙箱写入路径 - 影响:FSBridge命令注入可能导致沙箱写入路径中的命令执行漏洞。 - 修复方案: - 从FSBridge写入路径中移除shell解释。 - 添加回归测试以测试 、反斜杠、分号、空格和引号等路径。 - 保留请求工作区限制,拒绝沙箱回写/状态路径。 - 避免写入实现,这些实现会将文件内容回写到捕获的stdout。 3. 租户查看者可修改管理员-only配置/存储表面 - 影响:租户查看者可以修改管理员-only配置和存储表面,导致权限提升。 - 修复方案: - 租户查看者/成员不得读取或修改租户管理员-only TTS配置。 - 租户查看者/成员不得上传、移动或删除存储通过管理员路由。 - 租户管理员行为必须保持完整。 - 处理程序/写入必须接收 并使用集中式租户管理员助手。 4. Lite钩子表在v3.9.0中缺失 - 影响:Lite钩子表在v3.9.0中缺失,可能导致数据不一致。 - 修复方案: - 运行/保留SQL迁移测试,证明新DB和真实预钩子升级夹具包括 和 。 - 仅在验证失败时实现代码。 修复方案 本地计划路径: 阶段: - 基线验证和失败回归测试 - Auth/WebSocket和Webhook回环行为 - FBridge写入和路径限制硬化 - 租户管理员强制执行TTS/存储删除 - Lite钩子回归验证 - 安全回归套件和关闭 高风险非P0后台 多个高风险非P0后台问题,包括GoClaw团队任务完成授权绕过、服务器端请求伪造(SSRF)、MCP桥接删除SenderID、Evolution Suggestion Authorization Bypass、Agent Config Bypass、Bug Browser Pairing等。 检查清单 创建功能分支 添加失败回归测试 修复不安全的生产无令牌认证 修复缺失的secret webhook dispatch 修复FSBridge shell解释和工作区限制 添加租户管理员强制执行 验证Lite钩子表回归 运行最终聚焦测试/验证网关 更新此问题与PR链接和验证命令 实施状态 本地分支完成并验证 验证命令通过 Beta PR #32 红队决策 无令牌模式仅用于回环本地开发或显式不安全开发 Webhook缺少/不匹配验证使用提供程序安全响应,无分派和安全日志 存储DELETE在此PR范围内,需要租户管理员或更强角色 更广泛的管理员路由审计仅在报告时,除非相同的利用路径需要直接修复 代码块