CVE-2026-53846
WysokieCVSS 7.1Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 2 - wyżej niż 2% wszystkich znanych CVE
Streszczenie
OpenClaw przed wersją 2026.4.29 zawiera podatność na przejście ścieżki w pomocniku instalacyjnym, która pozwala plikom .env w przestrzeni roboczej na nadpisanie konfiguracji npm_execpath używanej do instalacji zależności runtime. Atakujący z dostępem do przestrzeni roboczej mogą uruchomić niezamierzone lokalne pliki wykonywalne menedżera pakietów podczas konfiguracji zależności.
Ocena ryzyka
Podatność ta może prowadzić do kompromitacji środowiska budowy, umożliwiając atakującym uruchamianie nieautoryzowanych poleceń w kontekście aplikacji. Organizacje powinny być świadome ryzyka związanego z nieautoryzowanym dostępem do przestrzeni roboczej.
Rekomendacja
Zaleca się aktualizację OpenClaw do wersji 2026.4.29 lub nowszej, aby usunąć tę podatność. Dodatkowo, należy ograniczyć dostęp do przestrzeni roboczej tylko do zaufanych użytkowników.
Oryginalny opis (angielski, źródło NVD)
OpenClaw before 2026.4.29 contains a path traversal vulnerability in the install helper that allows workspace .env files to override the npm_execpath configuration used for bundled runtime dependency installation. Attackers with workspace access can execute unintended local package-manager executables during dependency setup to compromise the build environment.

