Версии OpenClaw до 2026.2.15 содержат уязвимость внедрения параметров в перехватчике git-hooks/pre-commit, которая позволяет злоумышленникам создавать игнорируемые файлы путем создания файлов с вредоносными именами, начинающимися с тире. Перехватчик не использует разделитель -- при передаче имен файлов через xargs в git add, что позволяет злоумышленникам внедрять флаги git и добавлять конфиденциальные игнорируемые файлы, такие как .env, в историю git.
Показать оригинальное описание (EN)
OpenClaw versions prior to 2026.2.15 contain an option injection vulnerability in the git-hooks/pre-commit hook that allows attackers to stage ignored files by creating maliciously-named files beginning with dashes. The hook fails to use a -- separator when piping filenames through xargs to git add, enabling attackers to inject git flags and add sensitive ignored files like .env to git history.
Характеристики атаки
Последствия
Строка CVSS v4.0