CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2026-28363

Critical
Published: Translated: NVD NIST

Summary

W OpenClaw przed wersją 2026.2.23 walidacja tools.exec.safeBins dla sortowania mogła być obejściem za pomocą skrótów opcji długich GNU (takich jak --compress-prog) w trybie listy dozwolonej, co prowadziło do ścieżek wykonawczych, które miały wymagać zatwierdzenia. Tylko dokładny ciąg, taki jak --compress-program, był odrzucany.

Risk Assessment

Organizacja może być narażona na nieautoryzowane wykonanie kodu, co może prowadzić do poważnych naruszeń bezpieczeństwa. Potencjalne wykorzystanie tej luki może skutkować nieautoryzowanym dostępem do systemów i danych.

Recommendation

Zaleca się aktualizację OpenClaw do wersji 2026.2.23 lub nowszej, aby zlikwidować tę lukę. Dodatkowo, warto przeprowadzić audyt konfiguracji i monitorować użycie narzędzi w celu wykrycia potencjalnych prób wykorzystania tej podatności.

Original NVD description (English source)

In OpenClaw before 2026.2.23, tools.exec.safeBins validation for sort could be bypassed via GNU long-option abbreviations (such as --compress-prog) in allowlist mode, leading to approval-free execution paths that were intended to require approval. Only an exact string such as --compress-program was denied.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS