Katalog CVE

CVE-2026-32917

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

OpenClaw przed wersją 2026.3.13 zawiera podatność na zdalne wstrzykiwanie poleceń w procesie przygotowywania załączników iMessage, co pozwala atakującym na wykonywanie dowolnych poleceń na skonfigurowanych zdalnych hostach. Problem wynika z braku walidacji nieoczyszczonych ścieżek załączników zdalnych zawierających metaznaki powłoki.

Ocena ryzyka

Podatność ta stwarza poważne ryzyko dla organizacji, umożliwiając atakującym zdalne wykonywanie poleceń, co może prowadzić do przejęcia kontroli nad systemami. W szczególności, jeśli zdalne przygotowywanie załączników jest włączone, ryzyko wzrasta.

Rekomendacja

Zaleca się aktualizację OpenClaw do wersji 2026.3.13 lub nowszej, aby usunąć tę podatność. Dodatkowo, warto przeprowadzić audyt konfiguracji zabezpieczeń, aby upewnić się, że zdalne przygotowywanie załączników jest odpowiednio zabezpieczone.

Oryginalny opis (angielski, źródło NVD)

OpenClaw before 2026.3.13 contains a remote command injection vulnerability in the iMessage attachment staging flow that allows attackers to execute arbitrary commands on configured remote hosts. The vulnerability exists because unsanitized remote attachment paths containing shell metacharacters are passed directly to the SCP remote operand without validation, enabling command execution when remote attachment staging is enabled.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS