OpenClaw 对 CVE-2026-4039 的修复不完整:通过工作区配置进行 CLI 后端环境变量注入
CVE-2026-4039RCE2026-04-07
影响软件
openclaw (npm)
CWE
CWE-426
CVSS
8.7 (CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:H/VA:N/SC:N/SI:N/SA:N)
受影响版本
<= 2026.3.23-2
修复版本
>= 2026.3.24
关联产品
漏洞描述
### 漏洞概述 OpenClaw CLI 后端运行器存在环境变量注入漏洞。由于对 CVE-2026-4039 的修复不完整,攻击者可以利用恶意的工作区配置(Workspace Config)注入环境变量,从而可能导致远程代码执行(RCE)。 ### 影响范围 - **软件名称**: `openclaw` (npm package) - **受影响版本**: `<= 2026.3.23-2` ### 利用条件 攻击者需要能够诱导用户加载或使用包含恶意配置的工作区文件。 ### 修复建议 建议用户升级到 `openclaw` 版本 `2026.3.24` 或更高版本。该版本通过在调用 `spawn` 之前对后端环境变量进行严格的清理(sanitizing)解决了此问题。 ### 参考链接 - https://github.com/openclaw/openclaw/security/advisories/GHSA-vfw7-6rhc-6xxg - https://github.com/openclaw/openclaw/commit/c2fb7f1948c3226732a630256b5179a60664ec24
当前页面内容可能涉及 AI 翻译、补全或规范化处理,请结合原始来源核对关键信息。