NanoCoのNanoClawにおけるパストラバーサルの脆弱性
| Title |
NanoCoのNanoClawにおけるパストラバーサルの脆弱性
|
| Summary |
NanoClawバージョン1.2.0およびそれ以前には、送信添付ファイルの処理および送信箱のクリーンアップにおいて、ホスト/コンテナのファイルシステム境界に関する脆弱性があります。この脆弱性により、侵害されたコンテナまたはプロンプトインジェクションされたコンテナが、細工されたmessages_out.idおよびcontent.filesの値を提供したり、シンボリックリンクされた送信箱ファイルを作成したりすることで、意図された送信箱ディレクトリの外にあるファイルを読み取ることが可能になります。攻撃者はこの脆弱性を悪用して、ホスト側の任意のファイルを読み取ったり、場合によっては意図されたクリーンアップ対象外のパスを再帰的に削除したりすることができます。
|
| Possible impacts |
・当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。 ・当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。 ・当該ソフトウェアが完全に停止する可能性があります。 |
| Solution |
リリース情報、またはパッチ情報が公開されています。参考情報を参照して適切な対策を実施してください。 |
| Publication Date |
May 6, 2026, midnight |
| Registration Date |
June 3, 2026, 5:04 p.m. |
| Last Update |
June 3, 2026, 5:04 p.m. |
|
CVSS3.0 : 重要
|
| Score |
8.8
|
| Vector |
CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H |
Affected System
| NanoCo |
|
NanoClaw 1.2.0 およびそれ以前
|
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
その他
Change Log
| No |
Changed Details |
Date of change |
| 1 |
[2026年06月03日]
掲載 |
June 3, 2026, 5:04 p.m. |
NVD Vulnerability Information
CVE-2026-7875
| Summary |
NanoClaw version 1.2.0 and prior contains a host/container filesystem boundary vulnerability in outbound attachment handling and outbox cleanup that allows a compromised or prompt-injected container to read files outside the intended outbox directory by supplying crafted messages_out.id and content.files values or creating symlinked outbox files. Attackers can exploit this vulnerability to trigger host-side reads of arbitrary files and in some cases achieve recursive deletion of paths outside the intended cleanup target.
|
| Publication Date |
May 7, 2026, 2:16 a.m. |
| Registration Date |
May 7, 2026, 4:09 a.m. |
| Last Update |
May 8, 2026, 2:15 a.m. |
Related information, measures and tools
Common Vulnerabilities List