CVE-2026-32003 in OpenClawthông tin

Tóm tắt

Bởi VulDB • 05/06/2026

Các phiên bản OpenClaw trước 2026.2.22 chứa một lỗ hổng tiêm biến môi trường trong hàm system.run, cho phép kẻ tấn công vượt qua các hạn chế của danh sách lệnh được phép (allowlist) thông qua các biến môi trường SHELLOPTS và PS4. Kẻ tấn công có thể gọi system.run với các biến môi trường có phạm vi yêu cầu (request-scoped) để thực thi các lệnh shell tùy ý bên ngoài phần thân lệnh được liệt kê trong allowlist thông qua cơ chế mở rộng xtrace của bash.

Be aware that VulDB is the high quality source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

chịu trách nhiệm

VulnCheck

Đặt trước

10/03/2026

Tiết lộ

20/03/2026

Kiểm duyệt

được chấp nhận

mục

VDB-351866

CPE

sẵn sàng

CWE

CWE-78 (Đã xác nhận)

CVSS

7.2 (NVD)

EPSS

0.00070

KEV

không

Các hoạt động

rất thấp

ngành

Energy, Finance, ...

Nguồn

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-32003
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-32003
CVE Details	https://www.cvedetails.com/cve/CVE-2026-32003/

◂ Trước Tổng Quan Tiếp theo ▸

Interested in the pricing of exploits?

See the underground prices here!