Версии OpenClaw 2026.1.21 до 2026.2.19 содержат уязвимость внедрения команд в резервном механизме оболочки Windows расширения Lobster, которая позволяет злоумышленникам вводить произвольные команды через аргументы, предоставленные инструментом. Когда сбои создания вызывают откат оболочки с помощью оболочки: true, злоумышленники могут использовать интерпретацию команды cmd.exe для выполнения вредоносных команд, управляя аргументами рабочего процесса.
Показать оригинальное описание (EN)
OpenClaw versions 2026.1.21 prior to 2026.2.19 contain a command injection vulnerability in the Lobster extension's Windows shell fallback mechanism that allows attackers to inject arbitrary commands through tool-provided arguments. When spawn failures trigger shell fallback with shell: true, attackers can exploit cmd.exe command interpretation to execute malicious commands by controlling workflow arguments.
Характеристики атаки
Последствия
Строка CVSS v4.0
Тип уязвимости (CWE)
Уязвимые продукты 2
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Openclaw Openclaw
cpe:2.3:a:openclaw:openclaw:*:*:*:*:*:node.js:*:*
|
2026.1.21
|
2026.2.19
|
|
Microsoft Windows
cpe:2.3:o:microsoft:windows:-:*:*:*:*:*:*:*
|
— | — |