Katalog CVE

CVE-2026-53858

WysokieCVSS 7.1
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.12%

Percentyl 2 - wyżej niż 2% wszystkich znanych CVE

Streszczenie

OpenClaw w wersjach przed 2026.5.2 zawiera podatność na wstrzykiwanie zmiennych środowiskowych, gdzie zmienna STATE_DIRECTORY w pliku .env może wpływać na ścieżki zależności runtime. Atakujący mogą manipulować zmienną STATE_DIRECTORY, aby ładować zależności z niezamierzonych lokalnych ścieżek, co może prowadzić do wykonania złośliwego kodu.

Ocena ryzyka

Podatność ta stwarza ryzyko uruchomienia złośliwego kodu w środowisku produkcyjnym, co może prowadzić do kompromitacji systemów i danych organizacji.

Rekomendacja

Zaleca się aktualizację OpenClaw do wersji 2026.5.2 lub nowszej oraz przegląd konfiguracji zmiennych środowiskowych, aby zminimalizować ryzyko wstrzykiwania.

Oryginalny opis (angielski, źródło NVD)

OpenClaw before 2026.5.2 contains an environment variable injection vulnerability where workspace .env STATE_DIRECTORY could influence bundled runtime dependency roots. Attackers can manipulate the STATE_DIRECTORY variable to load runtime dependencies from unintended local paths, potentially executing malicious code during dependency resolution.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS