Katalog CVE

CVE-2026-28363

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

W OpenClaw przed wersją 2026.2.23 walidacja tools.exec.safeBins dla sortowania mogła być obejściem za pomocą skrótów opcji długich GNU (takich jak --compress-prog) w trybie listy dozwolonej, co prowadziło do ścieżek wykonawczych, które miały wymagać zatwierdzenia. Tylko dokładny ciąg, taki jak --compress-program, był odrzucany.

Ocena ryzyka

Organizacja może być narażona na nieautoryzowane wykonanie kodu, co może prowadzić do poważnych naruszeń bezpieczeństwa. Potencjalne wykorzystanie tej luki może skutkować nieautoryzowanym dostępem do systemów i danych.

Rekomendacja

Zaleca się aktualizację OpenClaw do wersji 2026.2.23 lub nowszej, aby zlikwidować tę lukę. Dodatkowo, warto przeprowadzić audyt konfiguracji i monitorować użycie narzędzi w celu wykrycia potencjalnych prób wykorzystania tej podatności.

Oryginalny opis (angielski, źródło NVD)

In OpenClaw before 2026.2.23, tools.exec.safeBins validation for sort could be bypassed via GNU long-option abbreviations (such as --compress-prog) in allowlist mode, leading to approval-free execution paths that were intended to require approval. Only an exact string such as --compress-program was denied.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS