OpenClaw OAuth भेद्यता: CVE-2026-4039 - 7.5 (HIGH)

OpenClaw में CVE-2026-4039 खतरनाक प्रक्रिया-स्तरीय चर को इंजेक्ट करने की अनुमति देता है। पहले, applySkillConfigEnvOverrides फ़ंक्शन skills.entries.*.env मानों को होस्ट process.env में कॉपी करता था, लेकिन होस्ट पर्यावरण सुरक्षा नीति लागू नहीं करता था। इसका मतलब है कि एक हमलावर NODE_OPTIONS जैसे चर इंजेक्ट कर सकता है, जो रनटाइम/चाइल्ड-प्रोसेस व्यवहार को प्रभावित कर सकता है। इन चर के सत्यापन या स्वच्छता की कमी से रनटाइम वातावरण में हेरफेर करना संभव हो जाता है, जिससे दुर्भावनापूर्ण कोड का निष्पादन या एप्लिकेशन के अपेक्षित व्यवहार में परिवर्तन हो सकता है।

Organizations using OpenClaw, particularly those deploying it in environments where untrusted code is executed or where process isolation is critical, are at risk. Developers who directly modify OpenClaw configuration files or integrate OpenClaw into custom applications are also at increased risk.

• nodejs / supply-chain:

Get-Process -Name openclaw | Select-Object -ExpandProperty Path

• nodejs / supply-chain:

Get-ChildItem -Path $env:USERPROFILE/\.openclaw/openclaw.json -Recurse

• linux / server:

ls -l ~/.openclaw/openclaw.json

• linux / server:

journalctl -u openclaw | grep -i "skill config"

1. 2026-02-27Disclosure

   disclosure

1. आरक्षित2026-03-12
2. प्रकाशित2026-02-27
3. संशोधित2026-03-14
4. EPSS अद्यतन2026-03-23

इस भेद्यता को कम करने के लिए, OpenClaw को संस्करण 2026.2.21 या बाद के संस्करण में अपडेट करने की अनुशंसा की जाती है। यह संस्करण पर्यावरण चर की प्रतिलिपि बनाते समय सुरक्षा नीति लागू करके समस्या को ठीक करता है, जिससे अवांछित मूल्यों का इंजेक्शन रोका जा सकता है। इसके अतिरिक्त, OpenClaw कॉन्फ़िगरेशन फ़ाइलों (विशेष रूप से ~/.openclaw/openclaw.json) तक पहुंच की समीक्षा और प्रतिबंधित करें ताकि अनधिकृत संशोधनों को रोका जा सके। OpenClaw लॉग की निगरानी करके संदिग्ध गतिविधि का पता लगाना भी संभावित हमलों का पता लगाने और उनका जवाब देने में मदद कर सकता है।