CVE-2026-29610

Nome do Software Vulnerável e Versões Afetadas Versões do OpenClaw anteriores a 2026.2.14

Descrição O OpenClaw é suscetível a um problema de sequestro de comandos. Atacantes podem executar binários não pretendidos ao manipular a variável de ambiente PATH por meio da execução no node-host ou do bootstrapping local do projeto. Isso é possível quando o OpenClaw depende de proteções de lista de permissões/binários seguros e espera que o PATH seja confiável. Um atacante precisa de acesso autenticado às superfícies de execução do node-host ou da capacidade de executar o OpenClaw em diretórios controlados pelo atacante para colocar executáveis maliciosos no PATH, substituindo comandos de binários seguros da lista de permissões e alcançando execução arbitrária de comandos. Dois cenários podem desencadear esse problema: A) Substituição do PATH do Node Host (sequestro remoto de comandos) e B) Bootstrapping local do projeto do PATH (sequestro local de comandos). A função system.run está envolvida no cenário de execução do node-host.

Recomendações Versões do OpenClaw anteriores a 2026.2.14 devem ser atualizadas para a versão 2026.2.14 ou posterior. O bootstrapping do PATH local do projeto em node modules/.bin está desativado por padrão. Se ativado explicitamente, ele é somente para adição via OPENCLAW ALLOW PROJECT LOCAL BIN=1. O Node Host agora ignora substituições de PATH com escopo de solicitação.