OpenClaw версии 2026.2.22 до 2026.2.23 содержит уязвимость выполнения произвольного кода в Shell-env, которая позволяет злоумышленникам выполнять контролируемые злоумышленником двоичные файлы, используя резервную логику доверенного префикса для переменной $SHELL. Злоумышленник может повлиять на переменную среды $SHELL в системах с доступными для записи каталогами с доверенным префиксом, такими как /opt/homebrew/bin, для выполнения произвольных двоичных файлов в контексте процесса OpenClaw.
Показать оригинальное описание (EN)
OpenClaw version 2026.2.22 prior to 2026.2.23 contain an arbitrary code execution vulnerability in shell-env that allows attackers to execute attacker-controlled binaries by exploiting trusted-prefix fallback logic for the $SHELL variable. An attacker can influence the $SHELL environment variable on systems with writable trusted-prefix directories such as /opt/homebrew/bin to execute arbitrary binaries in the OpenClaw process context.
Характеристики атаки
Последствия
Строка CVSS v4.0
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Openclaw Openclaw
cpe:2.3:a:openclaw:openclaw:*:*:*:*:*:node.js:*:*
|
2026.2.22
|
2026.2.23
|