Plateforme
nodejs
Composant
openclaw
Corrigé dans
2026.2.2
CVE-2026-28470 describes a critical command injection vulnerability discovered in OpenClaw. This flaw allows attackers to bypass the intended allowlist protection mechanism and execute arbitrary commands on the system. The vulnerability affects versions prior to 2026.2.2 and has been resolved in the updated release. Prompt patching is highly recommended to prevent potential compromise.
La vulnérabilité CVE-2026-28470 dans OpenClaw, avec un score CVSS de 9.8, représente un risque critique. Elle affecte les versions antérieures à 2026.2.2 et permet aux attaquants d'exécuter des commandes arbitraires. Le problème réside dans une faille du système d'approbations d'exécution (exec approvals) conçu pour protéger le système, mais qui peut être contournée. Plus précisément, l'injection de syntaxe de substitution de commandes (comme $() ou les backticks) dans des chaînes entre guillemets doubles permet aux attaquants d'exécuter des commandes non autorisées, en contournant les protections de la liste blanche. Le score CVSS élevé indique que la vulnérabilité est facilement exploitable et pourrait entraîner une compromission totale du système.
Un attaquant pourrait exploiter cette vulnérabilité en injectant des commandes malveillantes dans les entrées traitées par OpenClaw. Cela pourrait se produire via diverses sources, telles que des fichiers de configuration, des entrées utilisateur ou la manipulation de variables d'environnement. Le succès de l'exploitation dépend de la capacité de l'attaquant à contrôler l'entrée traitée et de l'absence d'une validation adéquate de l'entrée. L'exécution de commandes arbitraires permet à l'attaquant d'effectuer un large éventail d'actions, notamment l'exécution de code malveillant, l'accès à des données sensibles et la prise de contrôle du système.
Systems running OpenClaw, particularly those exposed to untrusted networks or user input, are at significant risk. Environments utilizing OpenClaw for critical infrastructure or sensitive data processing should prioritize patching. Shared hosting environments where OpenClaw is installed could also be affected if the host's security practices are inadequate.
• linux / server:
journalctl -u openclaw | grep -i "command substitution"
ps aux | grep openclaw | grep -i "$()"disclosure
Statut de l'Exploit
EPSS
0.09% (percentile 26%)
CISA SSVC
Vecteur CVSS
La solution pour atténuer CVE-2026-28470 est de mettre à jour OpenClaw vers la version 2026.2.2 ou supérieure. Cette mise à jour renforce la validation des entrées et empêche l'injection de commandes. L'application rapide de la mise à jour est essentielle, en particulier dans les environnements sensibles à la sécurité. Il est également recommandé de revoir la configuration des approbations d'exécution pour s'assurer que les meilleures pratiques sont utilisées et que les politiques de sécurité sont aussi restrictives que possible. Surveiller régulièrement les journaux du système à la recherche d'activités suspectes peut aider à détecter et à répondre aux attaques potentielles.
Actualice OpenClaw a la versión 2026.2.2 o superior para mitigar la vulnerabilidad. Esta actualización corrige el problema al escapar correctamente las sustituciones de comandos dentro de las cadenas entre comillas dobles, evitando la ejecución de comandos no autorizados.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
OpenClaw est un projet d'émulation open source, axé principalement sur l'émulation de systèmes d'exploitation tels que MS-DOS et Windows.
Si vous utilisez une version d'OpenClaw antérieure à 2026.2.2, vous êtes probablement affecté. Vérifiez votre version installée et mettez-la à jour immédiatement.
Une liste blanche est une liste d'éléments autorisés. Dans ce cas, elle fait référence à une liste de commandes ou d'actions autorisées pour l'exécution. La vulnérabilité permet de contourner cette liste.
Un attaquant pourrait exécuter n'importe quelle commande pour laquelle l'utilisateur exécutant OpenClaw a la permission, y compris les commandes système.
Si vous ne pouvez pas mettre à jour immédiatement, envisagez de restreindre l'accès à OpenClaw et de surveiller les journaux du système à la recherche d'activités suspectes.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.