PT-2026-35805 · Openclaw · Openclaw

Boyhack

·

Publicado

2026-04-09

·

Atualizado

2026-04-29

·

CVE-2026-42427

CVSS v4.0

8.6

Alta

VetorAV:L/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N
Nome do Software Vulnerável e Versões Afetadas OpenClaw versões anteriores a 2026.4.8
Descrição A execução remota de código é possível devido à ausência de entradas na lista de negação de variáveis de ambiente. Atacantes podem injetar variáveis de ambiente de ferramentas de compilação maliciosas, especificamente HGRCPATH, CARGO BUILD RUSTC WRAPPER, RUSTC WRAPPER e MAKEFLAGS, para influenciar comandos de execução do host e alcançar a execução de código arbitrário.
Recomendações Atualize para a versão 2026.4.8.

Correção

RCE

Incomplete List of Disallowed Inputs

OS Command Injection

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-184CWE-78

Identificadores relacionados

CVE-2026-42427
GHSA-7437-7HG8-FRRW

Produtos afetados

Openclaw