CVE-2026-28391
KrytyczneStreszczenie
Wersje OpenClaw przed 2026.2.2 nieprawidłowo walidują metaznaki cmd.exe w żądaniach wykonania z listy dozwolonych, co pozwala atakującym na obejście ograniczeń zatwierdzania poleceń. Atakujący mogą skonstruować ciągi poleceń z metaznakami powłoki, aby wykonać niezatwierdzone polecenia poza dozwolonymi operacjami.
Ocena ryzyka
Organizacje mogą być narażone na wykonanie nieautoryzowanych poleceń, co może prowadzić do poważnych naruszeń bezpieczeństwa i utraty danych. Potencjalni atakujący mogą wykorzystać tę podatność do przejęcia kontroli nad systemami.
Rekomendacja
Zaleca się aktualizację OpenClaw do wersji 2026.2.2 lub nowszej, aby usunąć tę podatność. Dodatkowo, warto przeprowadzić audyt konfiguracji zabezpieczeń, aby upewnić się, że nieautoryzowane polecenia nie mogą być wykonywane.
Oryginalny opis (angielski, źródło NVD)
OpenClaw versions prior to 2026.2.2 fail to properly validate Windows cmd.exe metacharacters in allowlist-gated exec requests (non-default configuration), allowing attackers to bypass command approval restrictions. Remote attackers can craft command strings with shell metacharacters like & or %...% to execute unapproved commands beyond the allowlisted operations.

