PT-2026-39684 · Openclaw · Openclaw

Garagon

·

Publicado

2026-04-25

·

Atualizado

2026-05-11

·

CVE-2026-44995

CVSS v3.1

7.3

Alta

VetorAV:L/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H
Nome do Software Vulnerável e Versões Afetadas OpenClaw versões anteriores a 2026.4.20
Descrição A validação inadequada de variáveis de ambiente na configuração do servidor MCP stdio permite a execução de código arbitrário. Configurações de espaço de trabalho maliciosas podem passar variáveis de inicialização perigosas, como NODE OPTIONS, LD PRELOAD ou BASH ENV, para processos do servidor MCP iniciados, permitindo a injeção de código quando os operadores iniciam sessões usando esses servidores.
Recomendações Atualize para a versão 2026.4.20.

Correção

Uncontrolled Search Path Element

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-829CWE-427CWE-454

Identificadores relacionados

CVE-2026-44995
GHSA-MJ59-H3Q9-GHFH
GHSA-P3M6-JR2H-HHXJ

Produtos afetados

Openclaw