Версии OpenClaw до 2026.2.14 содержат уязвимость перехвата команд, которая позволяет злоумышленникам выполнять непреднамеренные двоичные файлы, манипулируя переменными среды PATH посредством выполнения узла-хоста или локальной загрузки проекта. Злоумышленники, имеющие аутентифицированный доступ к поверхностям выполнения «узел-хост» или использующие OpenClaw в каталогах, контролируемых злоумышленниками, могут поместить вредоносные исполняемые файлы в PATH, чтобы переопределить команды безопасной корзины из разрешенного списка и добиться выполнения произвольных команд.
Показать оригинальное описание (EN)
OpenClaw versions prior to 2026.2.14 contain a command hijacking vulnerability that allows attackers to execute unintended binaries by manipulating PATH environment variables through node-host execution or project-local bootstrapping. Attackers with authenticated access to node-host execution surfaces or those running OpenClaw in attacker-controlled directories can place malicious executables in PATH to override allowlisted safe-bin commands and achieve arbitrary command execution.
Характеристики атаки
Последствия
Строка CVSS v4.0