Версии OpenClaw до 2026.2.22 в macOS node-host system.run содержат уязвимость обхода белого списка, которая позволяет удаленным злоумышленникам выполнять команды, не включенные в белый список, используя неправильный анализ токенов подстановки команд. Злоумышленники могут создавать полезные данные оболочки с синтаксисом подстановки команд в тексте в двойных кавычках, чтобы обойти ограничения безопасности и выполнить произвольные команды в системе.
Показать оригинальное описание (EN)
OpenClaw versions prior to 2026.2.22 in macOS node-host system.run contain an allowlist bypass vulnerability that allows remote attackers to execute non-allowlisted commands by exploiting improper parsing of command substitution tokens. Attackers can craft shell payloads with command substitution syntax within double-quoted text to bypass security restrictions and execute arbitrary commands on the system.
Характеристики атаки
Последствия
Строка CVSS v4.0
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Openclaw Openclaw
cpe:2.3:a:openclaw:openclaw:*:*:*:*:*:node.js:*:*
|
— |
2026.2.22
|