الثغرات ›

CVE-2026-45224

مرتفع

CWE-22 — نوع الضعف

                    نُشر: May 11, 2026                      ·  آخر تحديث: May 18, 2026                      ·  المصدر: NVD                

CVSS v3

7.1

🔗 NVD الرسمي

📄 الوصف (الإنجليزية)

Crabbox before 0.9.0 contains a path traversal vulnerability in the Islo provider's workspace path resolution that allows attackers to supply absolute or relative paths that resolve outside the intended /workspace directory. Attackers can craft a malicious .crabbox.yaml or crabbox.yaml file with traversal sequences to cause arbitrary file deletion and overwrite when sync.delete is enabled, as the workspace preparation logic executes rm -rf and mkdir -p operations on the resolved path without proper validation.

🤖 ملخص AI

Crabbox before 0.9.0 contains a path traversal vulnerability in workspace path resolution allowing attackers to delete or overwrite arbitrary files when sync.delete is enabled. Malicious YAML configuration files can exploit improper path validation to execute destructive operations outside intended directories.

📄 الوصف (العربية)

تحتوي نسخ Crabbox السابقة للإصدار 0.9.0 على ثغرة اجتياز مسار في منطق دقة مسار مساحة العمل بمزود Islo. يمكن للمهاجمين إنشاء ملفات .crabbox.yaml أو crabbox.yaml ضارة تحتوي على تسلسلات اجتياز مسار لحذف أو الكتابة فوق ملفات تعسفية عندما تكون وظيفة sync.delete مفعلة. تنفذ عمليات rm -rf و mkdir -p على المسارات المحللة دون التحقق الكافي من صحتها.

🤖 ملخص تنفيذي (AI)

إصدارات Crabbox السابقة للإصدار 0.9.0 تحتوي على ثغرة اجتياز المسار في دقة مسار مساحة العمل مما يسمح للمهاجمين بحذف أو الكتابة فوق الملفات التعسفية. يمكن لملفات YAML الضارة استغلال التحقق غير الكافي من المسار لتنفيذ عمليات مدمرة.

🤖 التحليل الذكي آخر تحليل: May 15, 2026 01:17

🇸🇦 التأثير على المملكة العربية السعودية

Saudi Relevance: high

🏢 القطاعات السعودية المتأثرة

government telecom banking healthcare

🎯 تقنيات MITRE ATT&CK

T1083 T1485 T1491

⚖️ درجة المخاطر السعودية (AI)

7.0

/ 10.0

🔧 Remediation Steps (English)

Upgrade Crabbox to version 0.9.0 or later immediately. Disable sync.delete functionality if upgrade is not immediately possible. Implement strict file permission controls and validate all YAML configuration files before execution. Monitor for suspicious .crabbox.yaml and crabbox.yaml files in user directories.

🔧 خطوات المعالجة (العربية)

قم بترقية Crabbox إلى الإصدار 0.9.0 أو أحدث فوراً. عطّل وظيفة sync.delete إذا لم يكن الترقية ممكنة فوراً. طبّق عناصر تحكم صارمة في أذونات الملفات والتحقق من جميع ملفات تكوين YAML قبل التنفيذ. راقب الملفات المريبة.

📋 خريطة الامتثال التنظيمي

🟢 NCA ECC 2024

6.1.1 6.2.1 7.1.1

🔵 SAMA CSF

CC6.1 CC6.2 CC7.2

🟡 ISO 27001:2022

A.12.2.1 A.12.4.1 A.14.2.1

🔗 المراجع والمصادر 4

🔗

https://github.com/openclaw/crabbox/commit/6b07193fb5670aac315ea47215651c67b8127868

disclosure@vulncheck.com

🔗

https://github.com/openclaw/crabbox/pull/65

disclosure@vulncheck.com

🔗

https://github.com/openclaw/crabbox/releases/tag/v0.9.0

disclosure@vulncheck.com

🔗

https://www.vulncheck.com/advisories/crabbox-path-traversal-via-islo-provider-workspace...

disclosure@vulncheck.com

📊 CVSS Score

7.1

/ 10.0 — مرتفع

📊 CVSS Vector

CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:H

Attack VectorL — Low / Local

Attack ComplexityL — Low / Local

Privileges RequiredN — None / Network

User InteractionR — Required

ScopeU — Unchanged

ConfidentialityN — None / Network

IntegrityH — High

AvailabilityH — High

📋 حقائق سريعة

الخطورة مرتفع

CVSS Score7.1

CWECWE-22

EPSS0.02%

اختراق متاح لا

تصحيح متاح ✗ لا

تاريخ النشر 2026-05-11

المصدر nvd

المشاهدات 1

🇸🇦 درجة المخاطر السعودية

7.0

/ 10.0 — مخاطر السعودية

أولوية: HIGH

🏷️ الوسوم

CWE-22

⚡ إجراءات

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

CVE-2026-45224

عرّفنا بنفسك

تسجيل الدخول مطلوب