Katalog CVE

CVE-2026-53846

WysokieCVSS 7.1
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.12%

Percentyl 2 - wyżej niż 2% wszystkich znanych CVE

Streszczenie

OpenClaw przed wersją 2026.4.29 zawiera podatność na przejście ścieżki w pomocniku instalacyjnym, która pozwala plikom .env w przestrzeni roboczej na nadpisanie konfiguracji npm_execpath używanej do instalacji zależności runtime. Atakujący z dostępem do przestrzeni roboczej mogą uruchomić niezamierzone lokalne pliki wykonywalne menedżera pakietów podczas konfiguracji zależności.

Ocena ryzyka

Podatność ta może prowadzić do kompromitacji środowiska budowy, umożliwiając atakującym uruchamianie nieautoryzowanych poleceń w kontekście aplikacji. Organizacje powinny być świadome ryzyka związanego z nieautoryzowanym dostępem do przestrzeni roboczej.

Rekomendacja

Zaleca się aktualizację OpenClaw do wersji 2026.4.29 lub nowszej, aby usunąć tę podatność. Dodatkowo, należy ograniczyć dostęp do przestrzeni roboczej tylko do zaufanych użytkowników.

Oryginalny opis (angielski, źródło NVD)

OpenClaw before 2026.4.29 contains a path traversal vulnerability in the install helper that allows workspace .env files to override the npm_execpath configuration used for bundled runtime dependency installation. Attackers with workspace access can execute unintended local package-manager executables during dependency setup to compromise the build environment.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS