1  info:
 2    name: OpenClaw
 3    cve: GHSA-qqq7-4hxc-x63c
 4    summary: 'OpenClaw 共享回复中的 MEDIA: 路径被视为受信任内容，可触发跨通道本地文件数据泄露'
 5    details: >-
 6      影响
 7  
 8  
 9      共享回复中的 MEDIA: 路径被视为受信任内容，可触发跨通道本地文件数据泄露。
10  
11  
12      精心构造的共享回复 MEDIA 引用可使其他通道将本地文件路径作为受信任的生成媒体内容进行读取。
13  
14  
15      OpenClaw 是用户自控的本地助手。本安全公告仅适用于 OpenClaw 信任模型，不涉及多租户服务边界场景。
16  
17  
18      受影响的软件包及版本
19  
20  
21      - 软件包：openclaw（npm）
22  
23      - 受影响版本：<=2026.4.4
24  
25      - 已修复版本：2026.4.8
26  
27  
28      修复方案
29  
30  
31      该问题已在 main 分支修复，可通过上述已修复的 npm 版本获取。已验证的修复提交为 d7c3210cd6f5fdfdc1beff4c9541673e814354d5。
32  
33  
34      验证说明
35  
36  
37      修复内容在发布前已针对 main 分支进行复核，包含针对受影响安全边界的定向回归测试。
38  
39  
40      致谢
41  
42  
43      感谢 @threalwinky 的漏洞报告。
44    cvss: ''
45    severity: HIGH
46    security_advise: 请将 openclaw 升级至 2026.4.8 或更高版本。该问题已在 main 分支修复，可通过上述已修复的 npm 版本获取。已验证的修复提交为
47      d7c3210cd6f5fdfdc1beff4c9541673e814354d5。
48    references:
49    - https://github.com/openclaw/openclaw/security/advisories/GHSA-qqq7-4hxc-x63c
50  rule: 'version <= "2026.4.4"'
51  references:
52  - https://github.com/openclaw/openclaw/security/advisories/GHSA-qqq7-4hxc-x63c