Версии OpenClaw до 2026.2.22 содержат уязвимость несоответствия синтаксического анализа белого списка в сопутствующем приложении macOS, которая позволяет прошедшим проверку подлинности операторам обходить проверки одобрения со стороны руководителей. Злоумышленники с привилегиями оператора.write и парным бета-узлом macOS могут создавать полезные нагрузки цепочки оболочки, которые проходят неполную проверку списка разрешенных, и выполнять произвольные команды на парном хосте.
Показать оригинальное описание (EN)
OpenClaw versions prior to 2026.2.22 contain an allowlist parsing mismatch vulnerability in the macOS companion app that allows authenticated operators to bypass exec approval checks. Attackers with operator.write privileges and a paired macOS beta node can craft shell-chain payloads that pass incomplete allowlist validation and execute arbitrary commands on the paired host.
Характеристики атаки
Последствия
Строка CVSS v4.0
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Openclaw Openclaw
cpe:2.3:a:openclaw:openclaw:*:*:*:*:*:node.js:*:*
|
— |
2026.2.22
|