Версии OpenClaw до 2026.2.24 содержат уязвимость внедрения команд в оболочке system.run, которая позволяет злоумышленникам выполнять скрытые команды путем внедрения позиционных носителей argv после встроенных полезных данных оболочки. Злоумышленники могут создавать вводящий в заблуждение текст одобрения при выполнении произвольных команд с помощью завершающих позиционных аргументов, которые обходят проверку контекста отображения.
Показать оригинальное описание (EN)
OpenClaw versions prior to 2026.2.24 contain a command injection vulnerability in the system.run shell-wrapper that allows attackers to execute hidden commands by injecting positional argv carriers after inline shell payloads. Attackers can craft misleading approval text while executing arbitrary commands through trailing positional arguments that bypass display context validation.
Характеристики атаки
Последствия
Строка CVSS v4.0
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Openclaw Openclaw
cpe:2.3:a:openclaw:openclaw:*:*:*:*:*:node.js:*:*
|
— |
2026.2.24
|