OpenClaw версии 2026.2.22-2 до 2026.2.23. Проверка Tools.exec.safeBins для команды сортировки не позволяет должным образом проверить сокращения GNU с длинными параметрами, что позволяет злоумышленникам обходить проверки флага отказа с помощью сокращенных параметров. Удаленные злоумышленники могут выполнять команды сортировки с сокращенными длинными параметрами, чтобы пропустить требования утверждения в режиме белого списка.
Показать оригинальное описание (EN)
OpenClaw version 2026.2.22-2 prior to 2026.2.23 tools.exec.safeBins validation for sort command fails to properly validate GNU long-option abbreviations, allowing attackers to bypass denied-flag checks via abbreviated options. Remote attackers can execute sort commands with abbreviated long options to skip approval requirements in allowlist mode.
Характеристики атаки
Последствия
Строка CVSS v4.0
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Openclaw Openclaw
cpe:2.3:a:openclaw:openclaw:*:*:*:*:*:node.js:*:*
|
— |
2026.2.23
|