OpenClaw < 2026.2.2 - कमांड सब्स्टिट्यूशन में डबल कोट्स के माध्यम से एग्ज़ेक अनुमति सूची बाईपास

यह भेद्यता हमलावरों के लिए ओपनक्लॉ (OpenClaw) सिस्टम पर मनमाना कमांड निष्पादित करने का मार्ग खोलती है, जिससे संभावित रूप से डेटा चोरी, सिस्टम समझौता और अन्य दुर्भावनापूर्ण गतिविधियाँ हो सकती हैं। हमलावर $() या बैकटिक (`) जैसे कमांड सब्स्टिट्यूशन सिंटैक्स को डबल-कोटेड स्ट्रिंग में एम्बेड करके अनुमति सूची (allowlist) को बाईपास कर सकते हैं। यह भेद्यता विशेष रूप से उन सिस्टमों के लिए गंभीर है जहां ओपनक्लॉ (OpenClaw) का उपयोग महत्वपूर्ण कार्यों के लिए किया जाता है, क्योंकि एक सफल शोषण से पूरे सिस्टम की सुरक्षा से समझौता हो सकता है। इस भेद्यता का शोषण सिस्टम पर पूर्ण नियंत्रण प्राप्त करने के लिए किया जा सकता है, जिससे संवेदनशील जानकारी तक अनधिकृत पहुंच और सिस्टम के सामान्य कामकाज में व्यवधान हो सकता है।

Systems running OpenClaw, particularly those exposed to untrusted networks or user input, are at significant risk. Environments utilizing OpenClaw for critical infrastructure or sensitive data processing should prioritize patching. Shared hosting environments where OpenClaw is installed could also be affected if the host's security practices are inadequate.

• linux / server:

journalctl -u openclaw | grep -i "command substitution"
ps aux | grep openclaw | grep -i "$()"

1. 2026-03-05Disclosure

   disclosure

1. आरक्षित2026-02-27
2. प्रकाशित2026-03-05
3. संशोधित2026-04-22
4. EPSS अद्यतन2026-03-23

इस भेद्यता को कम करने के लिए, ओपनक्लॉ (OpenClaw) को तुरंत संस्करण 2026.2.2 में अपडेट करना आवश्यक है। यदि अपडेट करना संभव नहीं है, तो कमांड सब्स्टिट्यूशन सिंटैक्स को डबल-कोटेड स्ट्रिंग में एम्बेड करने से रोकने के लिए ओपनक्लॉ (OpenClaw) कॉन्फ़िगरेशन को सख्त किया जा सकता है। इसके अतिरिक्त, एक वेब एप्लिकेशन फ़ायरवॉल (WAF) या प्रॉक्सी का उपयोग कमांड सब्स्टिट्यूशन प्रयासों का पता लगाने और उन्हें ब्लॉक करने के लिए किया जा सकता है। सिस्टम लॉग की नियमित रूप से निगरानी करना भी महत्वपूर्ण है ताकि किसी भी संदिग्ध गतिविधि का पता लगाया जा सके।