Retour à la liste

OpenClaw vulnerable to arbitrary code execution via attacker-controlled setup-api.js loaded from cwd during env-key resolution — CVE-2026-45004

GitHub · GitHub · CVE-2026-45004

ID
CVE-2026-45004
Date
Mis à jour
Activity
Source
GitHub
Fournisseur
GitHub
Risque
high
CVSS
7.8
EPSS
0.00014

Résumé

## Summary OpenClaw's bundled plugin setup resolver could fall back to `process.cwd()` while resolving provider setup metadata. If a user ran an OpenClaw command from an attacker-controlled repository containing `extensions/<plugin>/setup-api.js`, OpenClaw could load and execute that JavaScript during ordinary provider/model status resolution. ## Impact This is arbitrary JavaScript execution in the OpenClaw process…

Produit

npm: openclaw

Que faire

Mesures générales et prudentes (vérifiez les détails dans la source officielle) :

  • Priorisez immédiatement les correctifs ou les mesures d’atténuation (risque actif).
  • Identifiez les versions affectées dans votre inventaire et vérifiez si vous êtes concerné.
  • Appliquez les correctifs/mises à jour du fournisseur ou les atténuations recommandées.
  • Consultez l’avis officiel pour les versions affectées et les étapes de remédiation.

Avis officiel

Avis associés

GitHub GitHub 2026-W21