CVE Catalog
EnglishPolski(English translation not available — showing Polish)

CVE-2026-32917

Critical
Published: Translated: NVD NIST

Summary

OpenClaw przed wersją 2026.3.13 zawiera podatność na zdalne wstrzykiwanie poleceń w procesie przygotowywania załączników iMessage, co pozwala atakującym na wykonywanie dowolnych poleceń na skonfigurowanych zdalnych hostach. Problem wynika z braku walidacji nieoczyszczonych ścieżek załączników zdalnych zawierających metaznaki powłoki.

Risk Assessment

Podatność ta stwarza poważne ryzyko dla organizacji, umożliwiając atakującym zdalne wykonywanie poleceń, co może prowadzić do przejęcia kontroli nad systemami. W szczególności, jeśli zdalne przygotowywanie załączników jest włączone, ryzyko wzrasta.

Recommendation

Zaleca się aktualizację OpenClaw do wersji 2026.3.13 lub nowszej, aby usunąć tę podatność. Dodatkowo, warto przeprowadzić audyt konfiguracji zabezpieczeń, aby upewnić się, że zdalne przygotowywanie załączników jest odpowiednio zabezpieczone.

Original NVD description (English source)

OpenClaw before 2026.3.13 contains a remote command injection vulnerability in the iMessage attachment staging flow that allows attackers to execute arbitrary commands on configured remote hosts. The vulnerability exists because unsanitized remote attachment paths containing shell metacharacters are passed directly to the SCP remote operand without validation, enabling command execution when remote attachment staging is enabled.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS