OpenClaw: 由于构建工具环境变量黑名单缺失导致远程代码执行 (RCE)
影响软件
openclaw (npm)
CWE
CWE-78: Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection'), CWE-184: Incomplete List of Disallowed Inputs
CVSS
CVSS_V4: 8.6 (CVSS:4.0/AV:L/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N)
受影响版本
< 2026.4.8
修复版本
2026.4.8
关联产品
漏洞描述
### 漏洞概述 OpenClaw 在执行环境黑名单(denylist)中遗漏了关键的构建工具环境变量,包括 `HGRCPATH`、`CARGO_BUILD_RUSTC_WRAPPER`、`RUSTC_WRAPPER` 和 `MAKEFLAGS`。这允许恶意构建工具环境变量影响宿主机的执行命令,从而导致远程代码执行 (RCE)。 ### 影响范围 - **软件名称**: OpenClaw (npm package) - **受影响版本**: < 2026.4.8 ### 利用条件 攻击者需要能够控制或注入构建工具相关的环境变量(如 `RUSTC_WRAPPER` 或 `MAKEFLAGS`),并诱导 OpenClaw 执行相关的构建操作。 ### 修复建议 建议将 OpenClaw 升级至已修复的版本 `2026.4.8` 或更高版本。该修复已在 commit `d7c3210cd6f5fdfdc1beff4c9541673e814354d5` 中验证。 ### 参考链接 - https://github.com/openclaw/openclaw/security/advisories/GHSA-7437-7hg8-frrw
补充来源
当前页面内容可能涉及 AI 翻译、补全或规范化处理,请结合原始来源核对关键信息。