Katalog CVE

CVE-2026-28391

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

Wersje OpenClaw przed 2026.2.2 nieprawidłowo walidują metaznaki cmd.exe w żądaniach wykonania z listy dozwolonych, co pozwala atakującym na obejście ograniczeń zatwierdzania poleceń. Atakujący mogą skonstruować ciągi poleceń z metaznakami powłoki, aby wykonać niezatwierdzone polecenia poza dozwolonymi operacjami.

Ocena ryzyka

Organizacje mogą być narażone na wykonanie nieautoryzowanych poleceń, co może prowadzić do poważnych naruszeń bezpieczeństwa i utraty danych. Potencjalni atakujący mogą wykorzystać tę podatność do przejęcia kontroli nad systemami.

Rekomendacja

Zaleca się aktualizację OpenClaw do wersji 2026.2.2 lub nowszej, aby usunąć tę podatność. Dodatkowo, warto przeprowadzić audyt konfiguracji zabezpieczeń, aby upewnić się, że nieautoryzowane polecenia nie mogą być wykonywane.

Oryginalny opis (angielski, źródło NVD)

OpenClaw versions prior to 2026.2.2 fail to properly validate Windows cmd.exe metacharacters in allowlist-gated exec requests (non-default configuration), allowing attackers to bypass command approval restrictions. Remote attackers can craft command strings with shell metacharacters like & or %...% to execute unapproved commands beyond the allowlisted operations.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS