CVE-2026-28363
KrytyczneStreszczenie
W OpenClaw przed wersją 2026.2.23 walidacja tools.exec.safeBins dla sortowania mogła być obejściem za pomocą skrótów opcji długich GNU (takich jak --compress-prog) w trybie listy dozwolonej, co prowadziło do ścieżek wykonawczych, które miały wymagać zatwierdzenia. Tylko dokładny ciąg, taki jak --compress-program, był odrzucany.
Ocena ryzyka
Organizacja może być narażona na nieautoryzowane wykonanie kodu, co może prowadzić do poważnych naruszeń bezpieczeństwa. Potencjalne wykorzystanie tej luki może skutkować nieautoryzowanym dostępem do systemów i danych.
Rekomendacja
Zaleca się aktualizację OpenClaw do wersji 2026.2.23 lub nowszej, aby zlikwidować tę lukę. Dodatkowo, warto przeprowadzić audyt konfiguracji i monitorować użycie narzędzi w celu wykrycia potencjalnych prób wykorzystania tej podatności.
Oryginalny opis (angielski, źródło NVD)
In OpenClaw before 2026.2.23, tools.exec.safeBins validation for sort could be bypassed via GNU long-option abbreviations (such as --compress-prog) in allowlist mode, leading to approval-free execution paths that were intended to require approval. Only an exact string such as --compress-program was denied.

