Версии OpenClaw до 2026.2.22 содержат уязвимость обхода белого списка в конфигурации SafeBins, которая позволяет злоумышленникам вызывать внешние помощники с помощью опции compress-program. Когда сортировка явно добавлена в Tools.exec.safeBins, удаленные злоумышленники могут обойти предполагаемые ограничения утверждения безопасной корзины, используя параметр compress-program для выполнения несанкционированных внешних программ.
Показать оригинальное описание (EN)
OpenClaw versions prior to 2026.2.22 contain an allowlist bypass vulnerability in the safeBins configuration that allows attackers to invoke external helpers through the compress-program option. When sort is explicitly added to tools.exec.safeBins, remote attackers can bypass intended safe-bin approval constraints by leveraging the compress-program parameter to execute unauthorized external programs.
Характеристики атаки
Последствия
Строка CVSS v4.0
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Openclaw Openclaw
cpe:2.3:a:openclaw:openclaw:*:*:*:*:*:node.js:*:*
|
— |
2026.2.22
|