CVE-2026-53858
WysokieCVSS 7.1Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 2 - wyżej niż 2% wszystkich znanych CVE
Streszczenie
OpenClaw w wersjach przed 2026.5.2 zawiera podatność na wstrzykiwanie zmiennych środowiskowych, gdzie zmienna STATE_DIRECTORY w pliku .env może wpływać na ścieżki zależności runtime. Atakujący mogą manipulować zmienną STATE_DIRECTORY, aby ładować zależności z niezamierzonych lokalnych ścieżek, co może prowadzić do wykonania złośliwego kodu.
Ocena ryzyka
Podatność ta stwarza ryzyko uruchomienia złośliwego kodu w środowisku produkcyjnym, co może prowadzić do kompromitacji systemów i danych organizacji.
Rekomendacja
Zaleca się aktualizację OpenClaw do wersji 2026.5.2 lub nowszej oraz przegląd konfiguracji zmiennych środowiskowych, aby zminimalizować ryzyko wstrzykiwania.
Oryginalny opis (angielski, źródło NVD)
OpenClaw before 2026.5.2 contains an environment variable injection vulnerability where workspace .env STATE_DIRECTORY could influence bundled runtime dependency roots. Attackers can manipulate the STATE_DIRECTORY variable to load runtime dependencies from unintended local paths, potentially executing malicious code during dependency resolution.

