漏洞总结:MiniClaw 技能脚本路径遍历漏洞 漏洞概述 漏洞编号:CVE-22 Path Traversal Vulnerability in executeSkillScript 漏洞类型:路径遍历(Path Traversal) 影响组件: 函数 风险等级:允许未授权文件访问(Unauthorized File Access) 关联问题: - 原始报告:Fix skill script path traversal #8 - 关联漏洞:CVE-78: OS Command Injection in executeSkillScript via Unsafe Argument Handling 影响范围 攻击者可通过构造恶意技能名称或脚本文件路径,绕过文件系统访问控制。 可能导致读取、删除或创建任意文件内容,破坏沙箱验证机制。 执行技能时使用 而非 shell 命令字符串,但仍存在路径遍历风险。 修复方案 添加技能目录路径守卫(path guards)以限制技能执行路径。 在文件系统访问前对 和 进行路径遍历防护。 复用守卫用于技能创建/删除、内容读取和沙箱验证。 使用 替代 shell 命令字符串执行技能脚本。 添加回归测试覆盖报告的路径遍历模式及边界情况。 验证方式 状态 已合并至 分支(last week) 关联 PR:Fix skill script path traversal #8 关联 Issue:CVE-22 Path Traversal Vulnerability in executeSkillScript Allows Unauthorized File Access #5 关联 Issue:CVE-78: OS Command Injection in executeSkillScript via Unsafe Argument Handling #6 备注 该修复已成功合并,可能关闭相关漏洞报告。 页面中未提供 POC 代码或 exploit 代码。