OpenClaw before 2026.3.11 contains a sandbox boundary bypass vulnerability in fs-bridge staged writes where temporary file creation and population are not pinned to a verified parent directory. Attackers can exploit a race condition in parent-path alias changes to write attacker-controlled bytes outside the intended validated path before the final guarded replace step executes.
OpenClaw before version 2026.3.11 contains a sandbox boundary bypass vulnerability allowing attackers to write files outside intended directories through race condition exploitation in temporary file handling. The vulnerability affects the fs-bridge staged writes mechanism where parent directory verification is not properly pinned during file creation.
تحتوي هذه الثغرة على عيب في معالجة الملفات المؤقتة حيث لا يتم تثبيت التحقق من المجلد الأب بشكل صحيح أثناء عملية الكتابة المرحلية. يمكن للمهاجمين استغلال حالة تسابق في تغييرات مسار المجلد الأب لكتابة بيانات يتحكمون فيها خارج المسار المتحقق منه قبل تنفيذ خطوة الاستبدال المحمية.
إصدارات OpenClaw السابقة للإصدار 2026.3.11 تحتوي على ثغرة تجاوز حدود الحماية الرملية تسمح للمهاجمين بكتابة ملفات خارج المجلدات المقصودة عبر استغلال حالات تسابق في معالجة الملفات المؤقتة. تؤثر الثغرة على آلية الكتابة المرحلية حيث لا يتم تثبيت التحقق من المجلد الأب بشكل صحيح.
Immediately upgrade OpenClaw to version 2026.3.11 or later. Implement strict file system access controls and monitor temporary file creation patterns. Apply principle of least privilege to application processes and enable comprehensive audit logging for file system operations.
قم بترقية OpenClaw فوراً إلى الإصدار 2026.3.11 أو أحدث. طبق عناصر تحكم صارمة في الوصول إلى نظام الملفات ومراقبة أنماط إنشاء الملفات المؤقتة. طبق مبدأ أقل امتياز على عمليات التطبيق وفعّل تسجيل التدقيق الشامل لعمليات نظام الملفات.