OpenClaw до 2026.3.24 содержит уязвимость выполнения произвольного кода в локальной установке плагина и перехватчика, которая позволяет злоумышленникам выполнять вредоносный код, создавая файл .npmrc с переопределением исполняемого файла git. Во время выполнения установки npm в каталоге промежуточного пакета злоумышленники могут использовать зависимости git для запуска выполнения произвольных программ, указанных в контролируемом злоумышленником файле конфигурации .npmrc.
Показать оригинальное описание (EN)
OpenClaw before 2026.3.24 contains an arbitrary code execution vulnerability in local plugin and hook installation that allows attackers to execute malicious code by crafting a .npmrc file with a git executable override. During npm install execution in the staged package directory, attackers can leverage git dependencies to trigger execution of arbitrary programs specified in the attacker-controlled .npmrc configuration file.
Характеристики атаки
Последствия
Строка CVSS v4.0