UNKNOWNGHSA-8rh7-6779-cjqq
GHSA-8rh7-6779-cjqq: openclaw 环境变量注入漏洞 (CVSS 9.6)
平台
nodejs
组件
openclaw
已修复版本
2026.3.28
GHSA-8rh7-6779-cjqq是openclaw中的一个漏洞,允许未受信任的工作区状态注入主机环境变量。具体来说,openclaw在加载受信任的state-dir配置之前加载当前工作目录的`.env`文件,导致包含恶意`.env`文件的存储库或工作区可以覆盖运行时配置和安全敏感的环境设置。受影响的版本为<= 2026.3.24。此问题已在2026.3.28版本中修复。
修复方法
暂无官方补丁。请查找临时解决方案或持续关注更新。
常见问题
GHSA-8rh7-6779-cjqq是什么?
GHSA-8rh7-6779-cjqq是openclaw中一个允许通过恶意.env文件注入环境变量的漏洞。
我是否受到GHSA-8rh7-6779-cjqq的影响?
如果您的openclaw版本小于等于2026.3.24,您可能会受到此漏洞的影响。
如何修复GHSA-8rh7-6779-cjqq?
将openclaw升级到2026.3.28或更高版本可以修复此漏洞。