Версии OpenClaw до 2026.2.19 содержат уязвимость внедрения команд при создании сценариев запланированных задач Windows, из-за которой переменные среды записываются в шлюз.cmd с использованием незаключенных в кавычки назначений set KEY=VALUE, что позволяет метасимволам оболочки выходить из контекста назначения. Злоумышленники могут вводить произвольные команды через значения переменных среды, содержащие метасимволы, такие как &, |, ^, % или ! для достижения выполнения команды при создании и выполнении сценария запланированной задачи.
Показать оригинальное описание (EN)
OpenClaw versions prior to 2026.2.19 contain a command injection vulnerability in Windows Scheduled Task script generation where environment variables are written to gateway.cmd using unquoted set KEY=VALUE assignments, allowing shell metacharacters to break out of assignment context. Attackers can inject arbitrary commands through environment variable values containing metacharacters like &, |, ^, %, or ! to achieve command execution when the scheduled task script is generated and executed.
Характеристики атаки
Последствия
Строка CVSS v4.0