文章总结： 雷神众测漏洞周报披露了2026年3月30日至4月6日期间四个重要漏洞：OpenClaw存在路径遍历和命令注入漏洞，攻击者可写入任意文件或执行代码；CanvaAffinity存在越界写入漏洞，可通过特制EMF文件执行任意代码；GoogleChrome存在安全绕过漏洞，可规避PDF安全限制。所有漏洞均提供CVE编号、影响范围及修复建议，强调需及时升级到最新版本。 综合评分： 82 文章分类： 漏洞分析,漏洞预警,解决方案,应用安全,WEB安全

雷神众测漏洞周报2026.3.30-2026.4.6

原创

雷神众测 雷神众测

雷神众测

2026年4月8日 16:34 浙江

摘要

以下内容，均摘自于互联网，由于传播，利用此文所提供的信息而造成的任何直接或间接的后果和损失，均由使用者本人负责，雷神众测以及文章作者不承担任何责任。

雷神众测拥有该文章的修改和解释权。如欲转载或传播此文章，必须保证此文章的副本，包括版权声明等全部内容。声明雷神众测允许，不得任意修改或增减此文章内容，不得以任何方式将其用于商业目的。

目录

1.OpenClaw路径遍历漏洞

2.OpenClaw命令注入漏洞

3.Canva Affinity越界写入漏洞

4.Google Chrome安全绕过漏洞

漏洞详情

1.OpenClaw路径遍历漏洞

漏洞介绍：

OpenClaw是OpenClaw开源的一个智能人工助理。

漏洞危害：

OpenClaw存在路径遍历漏洞。该漏洞源于Feishu媒体下载流程未能正确地过滤资源或文件路径中的特殊元素，攻击者可利用该漏洞写入任意文件。

漏洞编号：

CVE-2026-22171

影响范围：

OpenClaw OpenClaw <2026.2.19

修复方案：

及时测试并升级到最新版本或升级版本

来源:CNVD

2.OpenClaw命令注入漏洞

漏洞介绍：

OpenClaw是OpenClaw开源的一个智能人工助理。

漏洞危害：

OpenClaw存在操作系统命令注入漏洞。该漏洞是由于未能对system.run函数中的shell启动环境变量HOME和ZDOTDIR进行过滤造成的。攻击者可利用该漏洞在系统上执行任意代码。

漏洞编号：

CVE-2026-32056

影响范围：

OpenClaw OpenClaw <2026.2.22

修复方案：

及时测试并升级到最新版本或升级版本

来源：CNVD

3.Canva Affinity越界写入漏洞

漏洞介绍：

Canva Affinity是澳大利亚Canva公司的一系列专业图形设计与图像编辑软件。

漏洞危害：

Canva Affinity存在越界写入漏洞，攻击者可利用该漏洞利用特制EMF文件执行越界写入，执行任意代码。

漏洞编号：

CVE-2025-64301

影响范围：

Canva Affinity 3.0.1.3808

修复方案：

及时测试并升级到最新版本或升级版本

来源：CNVD

4.Google Chrome安全绕过漏洞

漏洞介绍：

Google Chrome是美国谷歌（Google）公司的一款Web浏览器。

漏洞危害：

Google Chrome存在安全绕过漏洞，该漏洞是由于PDF中的策略执行不足造成的。攻击者可利用该漏洞绕过安全限制。

漏洞编号：

CVE-2026-3932

影响范围：

Google Chrome <146.0.7680.71

修复方案：

及时测试并升级到最新版本或升级版本

来源：CNVD

专注渗透测试技术

全球最新网络攻击技术

END

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：雷神众测 雷神众测 雷神众测《雷神众测漏洞周报2026.3.30-2026.4.6》