Версии OpenClaw 2026.1.5 до 2026.2.14 содержат уязвимость в шлюзе, из-за которой он недостаточно ограничивает настроенные пути модулей-перехватчиков перед передачей их в динамический импорт(), что позволяет выполнять код. Злоумышленник, имеющий доступ к изменению конфигурации шлюза, может загружать и выполнять непреднамеренные локальные модули в процессе Node.js.
Показать оригинальное описание (EN)
OpenClaw versions 2026.1.5 prior to 2026.2.14 contain a vulnerability in the Gateway in which it does not sufficiently constrain configured hook module paths before passing them to dynamic import(), allowing code execution. An attacker with gateway configuration modification access can load and execute unintended local modules in the Node.js process.
Характеристики атаки
Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Условия для атаки
Не требуются
Нет дополнительных условий
Нужны права
Высокие
Нужны права администратора
Участие пользователя
Не требуется
Не нужно действие пользователя
Последствия
Конфиденциальность
Высокое
Полная утечка данных
Целостность
Высокое
Полная модификация данных
Доступность
Высокое
Полный отказ в обслуживании
Строка CVSS v4.0
Тип уязвимости (CWE)
Ссылки 4
https://github.com/openclaw/openclaw/commit/35c0e66ed057f1a9f7ad2515fdcef516bd6…
disclosure@vulncheck.com
https://github.com/openclaw/openclaw/commit/a0361b8ba959e8506dc79d638b6e6a00d12…
disclosure@vulncheck.com
https://github.com/openclaw/openclaw/security/advisories/GHSA-v6c6-vqqg-w888
disclosure@vulncheck.com
https://www.vulncheck.com/advisories/openclaw-arbitrary-code-execution-via-unsa…
disclosure@vulncheck.com