प्लेटफ़ॉर्म
nodejs
घटक
openclaw
में ठीक किया गया
2026.2.22
2026.2.22
CVE-2026-32056 describes a remote code execution (RCE) vulnerability in the openclaw Node.js package. This flaw arises from insufficient sanitization of environment variables, specifically HOME and ZDOTDIR, which can be exploited to execute attacker-controlled startup files before the allowlisted command body is evaluated. The vulnerability affects versions of openclaw up to and including 2026.2.21-2, with a patched version 2026.2.22 available.
OpenClaw में CVE-2026-32056 एक हमलावर को अनुमत कमांड बॉडी का मूल्यांकन होने से पहले दुर्भावनापूर्ण कोड निष्पादित करने की अनुमति देता है। यह system.run पर्यावरण सैनिटाइजेशन में एक दोष के कारण है, जिसने शेल-स्टार्टअप संवेदनशील ओवरराइड कुंजियों (जैसे HOME और ZDOTDIR) को हमलावर द्वारा नियंत्रित स्टार्टअप फ़ाइलों को ओवरराइट करने की अनुमति दी। इस भेद्यता में CVSS स्कोर 7.5 है, जो मध्यम से उच्च जोखिम का संकेत देता है। इन पर्यावरण चर के उचित सत्यापन की कमी के कारण OpenClaw प्रक्रिया के संदर्भ में मनमाना कोड निष्पादित किया जा सकता है, जिससे संभावित रूप से सिस्टम सुरक्षा से समझौता हो सकता है।
एक हमलावर इस भेद्यता का फायदा HOME या ZDOTDIR पर्यावरण चर को उस निर्देशिका की ओर इंगित करने के लिए सेट करके उठा सकता है जिसे वे नियंत्रित करते हैं। फिर वे उस निर्देशिका में एक दुर्भावनापूर्ण स्क्रिप्ट रख सकते हैं। जब OpenClaw system.run निष्पादित करता है, तो अनुमत कमांड का मूल्यांकन होने से पहले दुर्भावनापूर्ण स्क्रिप्ट निष्पादित हो जाएगी, जिससे हमलावर को मनमाना कोड निष्पादित करने की अनुमति मिलेगी। यदि उपयोगकर्ताओं के पास पर्यावरण चर पर नियंत्रण है या यदि सिस्टम स्टार्टअप फ़ाइलों को ओवरराइट करने की अनुमति देता है, तो शोषण की संभावना अधिक होती है।
Applications and services built using Node.js and relying on the openclaw package are at risk. Specifically, projects that dynamically execute commands based on user input or external data without proper sanitization are particularly vulnerable. Developers who have not recently reviewed their dependencies or implemented robust input validation practices are also at increased risk.
• nodejs / supply-chain:
npm list openclaw• nodejs / supply-chain:
npm audit openclaw• nodejs / supply-chain:
Check for unusual process executions with environment variables HOME or ZDOTDIR set to attacker-controlled values using ps aux | grep openclaw
disclosure
patch
एक्सप्लॉइट स्थिति
EPSS
0.14% (34% शतमक)
CISA SSVC
इस भेद्यता के लिए प्राथमिक शमन OpenClaw को संस्करण 2026.2.22 या बाद के संस्करण में अपडेट करना है। यह संस्करण पर्यावरण सैनिटाइजेशन दोष को ठीक करता है, HOME और ZDOTDIR चर को स्टार्टअप फ़ाइलों को ओवरराइट करने से रोकता है। इस बीच, एक अस्थायी उपाय के रूप में, OpenClaw चलाने वाले उपयोगकर्ताओं के लिए HOME और ZDOTDIR पर्यावरण चर तक पहुंच को प्रतिबंधित करने की अनुशंसा की जाती है। इसके अतिरिक्त, किसी भी संदिग्ध गतिविधि के लिए .bashrc और .zshrc जैसे स्टार्टअप फ़ाइलों की जांच करें जो पिछले शोषण का संकेत दे सकती है। सिस्टम लॉग की निगरानी भी शोषण के प्रयासों का पता लगाने में मदद कर सकती है।
Actualice OpenClaw a la versión 2026.2.22 o posterior. Esto corrige la vulnerabilidad de inyección de variables de entorno que permite la ejecución remota de código. La actualización se puede realizar a través del gestor de paquetes de Python (pip) o descargando la nueva versión desde el repositorio oficial.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
OpenClaw एक परियोजना है जो Linux पर DOS गेम चलाने की अनुमति देती है।
यदि आप 2026.2.21-2 से पहले के OpenClaw संस्करण का उपयोग कर रहे हैं, तो आप संभवतः प्रभावित हैं।
HOME और ZDOTDIR पर्यावरण चर तक पहुंच को प्रतिबंधित करें।
एक हमलावर OpenClaw प्रक्रिया के संदर्भ में निष्पादित किए जा सकने वाले किसी भी कोड को निष्पादित कर सकता है।
अधिक विवरण और अपडेट के लिए OpenClaw GitHub रिपॉजिटरी देखें।
CVSS वेक्टर
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।