Версии OpenClaw до 2026.2.23 содержат уязвимость обхода одобрения исполнительного директора в режиме списка разрешений, при которой разрешения «всегда разрешать» можно обойти с помощью нераспознанных оболочек мультиплексорной оболочки, таких как команды busybox и toybox sh -c. Злоумышленники могут воспользоваться этим, вызывая произвольные полезные данные в одной и той же оболочке мультиплексора, чтобы удовлетворить сохраненным правилам разрешенного списка, минуя предполагаемые ограничения выполнения.
Показать оригинальное описание (EN)
OpenClaw versions prior to 2026.2.23 contain an exec approval bypass vulnerability in allowlist mode where allow-always grants could be circumvented through unrecognized multiplexer shell wrappers like busybox and toybox sh -c commands. Attackers can exploit this by invoking arbitrary payloads under the same multiplexer wrapper to satisfy stored allowlist rules, bypassing intended execution restrictions.
Характеристики атаки
Последствия
Строка CVSS v4.0
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Openclaw Openclaw
cpe:2.3:a:openclaw:openclaw:*:*:*:*:*:node.js:*:*
|
— |
2026.2.23
|