CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2026-32973

Critical
Published: Translated: NVD NIST

Summary

OpenClaw przed wersją 2026.3.11 zawiera lukę umożliwiającą obejście listy dozwolonych poleceń, w której niewłaściwie normalizowane są wzorce z użyciem małych liter oraz dopasowywania glob, co prowadzi do nadmiernego dopasowania na ścieżkach POSIX. Atakujący mogą wykorzystać znak zapytania jako wildcard do dopasowywania segmentów ścieżek, co pozwala na wykonanie poleceń lub ścieżek niezamierzonych przez operatorów.

Risk Assessment

Luka ta może prowadzić do nieautoryzowanego wykonania poleceń, co stwarza poważne zagrożenie dla bezpieczeństwa systemu. Organizacje mogą być narażone na ataki, które mogą prowadzić do utraty danych lub przejęcia kontroli nad systemem.

Recommendation

Zaleca się aktualizację OpenClaw do wersji 2026.3.11 lub nowszej, aby usunąć tę lukę. Dodatkowo warto przeprowadzić audyt zabezpieczeń, aby zidentyfikować i zminimalizować potencjalne ryzyka związane z tą podatnością.

Original NVD description (English source)

OpenClaw before 2026.3.11 contains an exec allowlist bypass vulnerability where matchesExecAllowlistPattern improperly normalizes patterns with lowercasing and glob matching that overmatches on POSIX paths. Attackers can exploit the ? wildcard matching across path segments to execute commands or paths not intended by operators.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS