CVE-2026-53819
WysokieCVSS 8.8Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 12 - wyżej niż 12% wszystkich znanych CVE
Streszczenie
OpenClaw przed wersją 2026.5.27 zawiera podatność na wykonanie dowolnego kodu w procesie instalacji umiejętności, gdzie pliki .env w przestrzeni roboczej mogą nadpisywać wybór wykonywalnego pliku Homebrew. Atakujący z dostępem do zaufanych przestrzeni roboczych operatorów mogą uruchomić niezamierzone wykonywalne pliki kompatybilne z Homebrew podczas konfiguracji umiejętności, co może prowadzić do kompromitacji systemu.
Ocena ryzyka
Podatność ta stwarza ryzyko, że atakujący mogą wykorzystać zaufane środowisko do uruchomienia złośliwego kodu, co może prowadzić do poważnych naruszeń bezpieczeństwa w organizacji.
Rekomendacja
Zaleca się aktualizację OpenClaw do wersji 2026.5.27 lub nowszej oraz ograniczenie dostępu do zaufanych przestrzeni roboczych operatorów.
Oryginalny opis (angielski, źródło NVD)
OpenClaw before 2026.5.27 contains an arbitrary code execution vulnerability in skill install flows where workspace .env files can override the Homebrew executable selection. Attackers with access to trusted operator workspaces can execute unintended Homebrew-compatible executables during skill setup to compromise the system.

