Версии OpenClaw до 2026.2.21 не фильтруют опасные переменные среды управления процессами из config env.vars, что позволяет выполнять код во время запуска. Злоумышленники могут внедрить переменные, такие как NODE_OPTIONS или LD_*, через конфигурацию для выполнения произвольного кода в контексте выполнения службы шлюза OpenClaw.
Показать оригинальное описание (EN)
OpenClaw versions prior to 2026.2.21 fail to filter dangerous process-control environment variables from config env.vars, allowing startup-time code execution. Attackers can inject variables like NODE_OPTIONS or LD_* through configuration to execute arbitrary code in the OpenClaw gateway service runtime context.
Характеристики атаки
Способ атаки
Локальный
Нужен локальный доступ
Сложность
Низкая
Легко эксплуатировать
Условия для атаки
Не требуются
Нет дополнительных условий
Нужны права
Низкие
Нужны базовые права
Участие пользователя
Не требуется
Не нужно действие пользователя
Последствия
Конфиденциальность
Нет
Нет утечки данных
Целостность
Высокое
Полная модификация данных
Доступность
Низкое
Частичное нарушение работы
Строка CVSS v4.0
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Openclaw Openclaw
cpe:2.3:a:openclaw:openclaw:*:*:*:*:*:node.js:*:*
|
— |
2026.2.21
|
Ссылки 3
https://github.com/openclaw/openclaw/commit/2cdbadee1f8fcaa93302d7debbfc529e198…
disclosure@vulncheck.com
https://github.com/openclaw/openclaw/security/advisories/GHSA-8fmp-37rc-p5g7
disclosure@vulncheck.com
https://www.vulncheck.com/advisories/openclaw-environment-variable-injection-vi…
disclosure@vulncheck.com