Версии OpenClaw до 2026.2.14 содержат уязвимость в шлюзе, из-за которой ему не удается очистить внутренние поля утверждения в параметрах node.invoke, что позволяет аутентифицированным клиентам обходить шлюз утверждения exec для команд system.run. Злоумышленники с действительными учетными данными шлюза могут внедрить поля контроля одобрения для выполнения произвольных команд на хостах подключенных узлов, потенциально ставя под угрозу рабочие станции разработчиков и средства запуска CI.
Показать оригинальное описание (EN)
OpenClaw versions prior to 2026.2.14 contain a vulnerability in the gateway in which it fails to sanitize internal approval fields in node.invoke parameters, allowing authenticated clients to bypass exec approval gating for system.run commands. Attackers with valid gateway credentials can inject approval control fields to execute arbitrary commands on connected node hosts, potentially compromising developer workstations and CI runners.
Характеристики атаки
Последствия
Строка CVSS v4.0