Версии OpenClaw до 2026.2.2 не могут должным образом проверить метасимволы Windows cmd.exe в запросах выполнения, контролируемых списком разрешений, что позволяет злоумышленникам обходить ограничения на одобрение команд. Удаленные злоумышленники могут создавать командные строки с метасимволами оболочки, такими как & или %...%, для выполнения несанкционированных команд, выходящих за рамки разрешенных операций.
Показать оригинальное описание (EN)
OpenClaw versions prior to 2026.2.2 fail to properly validate Windows cmd.exe metacharacters in allowlist-gated exec requests (non-default configuration), allowing attackers to bypass command approval restrictions. Remote attackers can craft command strings with shell metacharacters like & or %...% to execute unapproved commands beyond the allowlisted operations.
Характеристики атаки
Последствия
Строка CVSS v4.0