Katalog CVE

CVE-2026-32973

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

OpenClaw przed wersją 2026.3.11 zawiera lukę umożliwiającą obejście listy dozwolonych poleceń, w której niewłaściwie normalizowane są wzorce z użyciem małych liter oraz dopasowywania glob, co prowadzi do nadmiernego dopasowania na ścieżkach POSIX. Atakujący mogą wykorzystać znak zapytania jako wildcard do dopasowywania segmentów ścieżek, co pozwala na wykonanie poleceń lub ścieżek niezamierzonych przez operatorów.

Ocena ryzyka

Luka ta może prowadzić do nieautoryzowanego wykonania poleceń, co stwarza poważne zagrożenie dla bezpieczeństwa systemu. Organizacje mogą być narażone na ataki, które mogą prowadzić do utraty danych lub przejęcia kontroli nad systemem.

Rekomendacja

Zaleca się aktualizację OpenClaw do wersji 2026.3.11 lub nowszej, aby usunąć tę lukę. Dodatkowo warto przeprowadzić audyt zabezpieczeń, aby zidentyfikować i zminimalizować potencjalne ryzyka związane z tą podatnością.

Oryginalny opis (angielski, źródło NVD)

OpenClaw before 2026.3.11 contains an exec allowlist bypass vulnerability where matchesExecAllowlistPattern improperly normalizes patterns with lowercasing and glob matching that overmatches on POSIX paths. Attackers can exploit the ? wildcard matching across path segments to execute commands or paths not intended by operators.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS