CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2026-28470

Critical
Published: Translated: NVD NIST

Summary

Wersje OpenClaw przed 2026.2.2 zawierają podatność na obejście listy dozwolonych zatwierdzeń (exec approvals), która umożliwia atakującym wykonywanie dowolnych poleceń poprzez wstrzykiwanie składni substytucji poleceń. Atakujący mogą obejść ochronę listy dozwolonych, wstawiając nieescapowane $() lub backticks wewnątrz podwójnie cytowanych ciągów.

Risk Assessment

Podatność ta stwarza poważne ryzyko dla organizacji, umożliwiając atakującym wykonywanie nieautoryzowanych poleceń, co może prowadzić do kompromitacji systemów i danych. Właściwe zabezpieczenia mogą zostać łatwo ominięte, co zwiększa ryzyko ataków.

Recommendation

Zaleca się aktualizację OpenClaw do wersji 2026.2.2 lub nowszej, aby usunąć tę podatność. Dodatkowo, warto przeanalizować i wzmocnić polityki bezpieczeństwa dotyczące wykonywania poleceń w aplikacjach.

Original NVD description (English source)

OpenClaw versions prior to 2026.2.2 contain an exec approvals (must be enabled) allowlist bypass vulnerability that allows attackers to execute arbitrary commands by injecting command substitution syntax. Attackers can bypass the allowlist protection by embedding unescaped $() or backticks inside double-quoted strings to execute unauthorized commands.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS