Версии OpenClaw 2026.1.21 до 2026.2.19 содержат уязвимость внедрения команд в резервном механизме оболочки Windows расширения Lobster, которая позволяет злоумышленникам вводить произвольные команды через аргументы, предоставленные инструментом. Когда сбои создания вызывают откат оболочки с помощью оболочки: true, злоумышленники могут использовать интерпретацию команды cmd.exe для выполнения вредоносных команд, управляя аргументами рабочего процесса.
Показать оригинальное описание (EN)
OpenClaw versions 2026.1.21 prior to 2026.2.19 contain a command injection vulnerability in the Lobster extension's Windows shell fallback mechanism that allows attackers to inject arbitrary commands through tool-provided arguments. When spawn failures trigger shell fallback with shell: true, attackers can exploit cmd.exe command interpretation to execute malicious commands by controlling workflow arguments.
Характеристики атаки
Последствия
Строка CVSS v4.0