OpenClaw < 2026.3.13 - Injection de commande à distance via des chemins de pièces jointes iMessage non nettoyés dans SCP

OpenClaw avant 2026.3.13 contient une vulnérabilité d'injection de commande à distance dans le flux de préparation des pièces jointes iMessage qui permet aux attaquants d'exécuter des commandes arbitraires sur les hôtes distants configurés. La vulnérabilité existe car les chemins d'accès aux pièces jointes distantes non nettoyés contenant des métacaractères shell sont transmis directement à l'opérande distant SCP sans validation, ce qui permet l'exécution de commandes lorsque la préparation des pièces jointes distantes est activée.