CVE-2026-53842
WysokieCVSS 7.1Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 3 - wyżej niż 3% wszystkich znanych CVE
Streszczenie
OpenClaw w wersjach przed 2026.5.2 zawiera podatność na wstrzykiwanie zmiennych środowiskowych, która pozwala plikom .env w przestrzeni roboczej wpływać na wybór środowiska Python podczas wykonywania konfiguracji gcloud dla Gmaila. Atakujący z dostępem do repozytoriów mogą manipulować zmienną CLOUDSDK_PYTHON, co może prowadzić do wykonania dowolnego kodu.
Ocena ryzyka
Podatność ta stwarza ryzyko wykonania dowolnego kodu przez atakujących, co może prowadzić do poważnych naruszeń bezpieczeństwa w organizacji. Manipulacja zmiennymi środowiskowymi może umożliwić atakującym przejęcie kontroli nad systemem.
Rekomendacja
Zaleca się aktualizację OpenClaw do wersji 2026.5.2 lub nowszej, aby usunąć tę podatność. Należy również ograniczyć dostęp do repozytoriów, aby zminimalizować ryzyko manipulacji zmiennymi środowiskowymi.
Oryginalny opis (angielski, źródło NVD)
OpenClaw before 2026.5.2 contains an environment variable injection vulnerability allowing workspace .env files to influence Python runtime selection through CLOUDSDK_PYTHON during Gmail setup gcloud execution. Attackers with repository access can manipulate the CLOUDSDK_PYTHON variable to execute setup through unintended local Python paths, potentially enabling arbitrary code execution.

