CVE-2026-41294

Name of the Vulnerable Software and Affected Versions OpenClaw versões anteriores a 2026.3.28

Description Um problema de injeção de variáveis de ambiente ocorre porque o software carrega o arquivo .env do diretório de trabalho atual antes da configuração de state-dir confiável. Isso permite que o estado de um workspace não confiável injete valores de ambiente do host. Um invasor pode colocar um arquivo .env malicioso em um repositório ou workspace para sobrescrever a configuração de tempo de execução e configurações de ambiente sensíveis à segurança durante a inicialização, potencialmente levando ao controle da configuração e ignorando a política de host-env. O problema está localizado nos componentes src/infra/dotenv.ts e src/cli/dotenv.ts.

Recommendations Atualizar para a versão 2026.3.28.