CVE-2026-41373 in OpenClaw
摘要
由 VulDB • 2026-06-04
OpenClaw 在 2026.3.31 版本之前存在一个 host-env-security-policy.json 配置不完整的问题,该问题未能限制编译器二进制文件的环境变量,导致不受信任的模型可以通过环境变量覆盖来替换 CC、CXX、CARGO_BUILD_RUSTC 和 CMAKE_C_COMPILER。拥有已批准的主机执行请求的攻击者可以覆盖编译器二进制文件,从而在构建过程中执行任意代码。
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.