漏洞风险提示（20260430）

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 OpenClaw后置链接漏洞（CVE-2026-41364）
一、漏洞描述：
        
        OpenClaw是OpenClaw开源的一个智能人工助理。
        OpenClaw存在后置链接漏洞，攻击者可利用该漏洞上传包含符号链接的tar归档文件以逃逸沙箱并覆盖远程主机上的文件。
二、风险等级：
        高
三、影响范围：
        OpenClaw OpenClaw ≤2026.3.30
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://github.com/openclaw/open ... 8e11581d697bd0829dc

---

2 OpenClaw路径遍历漏洞（CVE-2026-41363）
一、漏洞描述：
        
        OpenClaw是OpenClaw开源的一个智能人工助理。
        OpenClaw存在路径遍历漏洞，攻击者可利用该漏洞绕过文件系统沙箱限制读取任意文件。
二、风险等级：
        高
三、影响范围：
        OpenClaw OpenClaw ≥2026.2.6，≤2026.3.27
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://github.com/openclaw/open ... GHSA-qf48-qfv4-jjm9

---

3 Flowise信息泄露漏洞（CVE-2026-41278）
一、漏洞描述：
        
        Flowise是FlowiseAI开源的一个用于轻松构建 LLM 应用程序的工具。
        Flowise存在信息泄露漏洞，该漏洞是由/api/v1/public-chatflows/:id端点中的缺陷引起的，攻击者可利用该漏洞获取敏感信息。
二、风险等级：
        高
三、影响范围：
        Flowise Flowise ≤3.0.0
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://github.com/FlowiseAI/Flo ... GHSA-w47f-j8rh-wx87

---

4 Linux kernel本地权限提升漏洞（CVE-2026-31431）
一、漏洞描述：
        
        Linux kernel是美国Linux基金会的开源操作系统Linux所使用的内核。
        Linux kernel存在本地权限提升漏洞，该漏洞源于crypto: algif_aead模块在处理AEAD操作时的逻辑缺陷，攻击者可利用该漏洞通过AF_ALG加密接口向任意可读文件的页缓存（page cache）写入受控的少量数据（PoC中为4字节块），进而篡改setuid等特权二进制文件，实现本地权限提升至root。
二、风险等级：
        高
三、影响范围：
        Linux Linux kernel ≥commit72548b093ee3，commit a664bf3d603d之前版本
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://git.kernel.org/stable/c/ ... 358d7d3145bcc9aedd8

---