Katalog CVE

CVE-2026-28470

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

Wersje OpenClaw przed 2026.2.2 zawierają podatność na obejście listy dozwolonych zatwierdzeń (exec approvals), która umożliwia atakującym wykonywanie dowolnych poleceń poprzez wstrzykiwanie składni substytucji poleceń. Atakujący mogą obejść ochronę listy dozwolonych, wstawiając nieescapowane $() lub backticks wewnątrz podwójnie cytowanych ciągów.

Ocena ryzyka

Podatność ta stwarza poważne ryzyko dla organizacji, umożliwiając atakującym wykonywanie nieautoryzowanych poleceń, co może prowadzić do kompromitacji systemów i danych. Właściwe zabezpieczenia mogą zostać łatwo ominięte, co zwiększa ryzyko ataków.

Rekomendacja

Zaleca się aktualizację OpenClaw do wersji 2026.2.2 lub nowszej, aby usunąć tę podatność. Dodatkowo, warto przeanalizować i wzmocnić polityki bezpieczeństwa dotyczące wykonywania poleceń w aplikacjach.

Oryginalny opis (angielski, źródło NVD)

OpenClaw versions prior to 2026.2.2 contain an exec approvals (must be enabled) allowlist bypass vulnerability that allows attackers to execute arbitrary commands by injecting command substitution syntax. Attackers can bypass the allowlist protection by embedding unescaped $() or backticks inside double-quoted strings to execute unauthorized commands.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS