Vulnerabilities ›

CVE-2026-28363

Critical

CVE-2026-28363: Command Injection via GNU Long-Option Abbreviation Bypass in OpenClaw

CWE-184 — Weakness Type

                    Published: Feb 27, 2026                      ·  Modified: Feb 28, 2026                      ·  Source: NVD                

CVSS v3

9.9

🔗 NVD Official

📄 Description (English)

In OpenClaw before 2026.2.23, tools.exec.safeBins validation for sort could be bypassed via GNU long-option abbreviations (such as --compress-prog) in allowlist mode, leading to approval-free execution paths that were intended to require approval. Only an exact string such as --compress-program was denied.

🤖 AI Executive Summary

OpenClaw before version 2026.2.23 contains a critical vulnerability where the safeBins validation for the sort tool can be bypassed using GNU long-option abbreviations like --compress-prog instead of the exact --compress-program. This allows attackers to execute commands that should require approval, completely circumventing the security control.

📄 Description (Arabic)

تمثل هذه الثغرة الأمنية خللاً حرجاً في آلية التحقق من صحة الأوامر في مكتبة OpenClaw للغة Node.js، حيث تسمح للمهاجمين بتجاوز قيود القائمة البيضاء المصممة لمنع تنفيذ الأوامر الخطرة. يستغل المهاجمون خاصية اختصار الخيارات الطويلة في أدوات GNU، حيث يمكن استخدام --compress-prog كاختصار لـ --compress-program، بينما تحظر آلية التحقق النص الكامل فقط. يؤدي هذا التجاوز إلى تنفيذ مسارات أوامر كان من المفترض أن تتطلب موافقة صريحة، مما يفتح الباب أمام تنفيذ تعليمات برمجية عشوائية على الخادم. تصنف الثغرة ضمن CWE-184 المتعلقة بالتحقق غير الكامل من القائمة، وتشكل تهديداً مباشراً لسلامة الأنظمة وسرية البيانات. تتطلب هذه الثغرة اهتماماً فورياً نظراً لدرجة خطورتها العالية وإمكانية استغلالها في هجمات سلسلة التوريد البرمجية.

🤖 ملخص تنفيذي (AI)

توجد ثغرة أمنية حرجة لحقن الأوامر في OpenClaw قبل الإصدار 2026.2.23 تؤثر على آلية التحقق من tools.exec.safeBins. يمكن للمهاجمين تجاوز الضوابط الأمنية من خلال استغلال اختصارات خيارات GNU الطويلة مثل استخدام --compress-prog بدلاً من --compress-program في وضع القائمة البيضاء، مما يتيح تنفيذ الأوامر غير المصرح بها دون الحصول على الموافقة المطلوبة. تحمل هذه الثغرة درجة خطورة 9.9 وفقاً لمقياس CVSS وتشكل مخاطر جسيمة على الأنظمة التي تشغل إصدارات OpenClaw المعرضة للخطر في بيئات Node.js.

🤖 AI Intelligence Analysis Analyzed: Apr 4, 2026 17:08

🇸🇦 Saudi Arabia Impact Assessment

Relevance: high

🏢 Affected Saudi Sectors

القطاع المصرفي والمالي الجهات الحكومية قطاع الاتصالات وتقنية المعلومات قطاع الطاقة والمرافق القطاع الصحي التجارة الإلكترونية المؤسسات التعليمية البنية التحتية الحيوية

🎯 MITRE ATT&CK Techniques

T1059 T1059.004 T1190 T1203 T1068 T1211

⚖️ Saudi Risk Score (AI)

10.0

/ 10.0

🔧 Remediation Steps (English)

Immediately upgrade OpenClaw to version 2026.2.23 or later and implement strict validation that rejects abbreviated GNU long-options in addition to exact matches.

🔧 خطوات المعالجة (العربية)

قم بترقية OpenClaw فوراً إلى الإصدار 2026.2.23 أو أحدث وتطبيق التحقق الصارم الذي يرفض اختصارات خيارات GNU بالإضافة إلى المطابقات الدقيقة.

📋 Regulatory Compliance Mapping

🟢 NCA ECC 2024

ECC-1-3: تطبيق التحديثات والتصحيحات الأمنية ECC-2-1: إدارة الثغرات الأمنية ECC-3-1: تطوير آمن للتطبيقات ECC-4-1: المراقبة والتسجيل الأمني ECC-5-2: إدارة الصلاحيات والوصول

🔵 SAMA CSF

CCC-1.1.1: إدارة الأصول التقنية CCC-2.1.2: إدارة الثغرات الأمنية CCC-3.2.1: التطوير الآمن للأنظمة CCC-4.1.3: المراقبة المستمرة للأمن السيبراني CCC-5.2.2: الاستجابة للحوادث السيبرانية

🟡 ISO 27001:2022

A.12.6.1: إدارة الثغرات التقنية A.14.2.1: سياسة التطوير الآمن A.12.4.1: تسجيل الأحداث A.9.4.1: تقييد الوصول إلى المعلومات A.16.1.4: تقييم الأحداث الأمنية

🔗 References & Sources 1

🔗

https://github.com/openclaw/openclaw/security/advisories/GHSA-3c6h-g97w-fg78

cve@mitre.org

Vendor Advisory

📦 Affected Products / CPE 1 entries

openclaw:openclaw

📊 CVSS Score

9.9

/ 10.0 — Critical

📊 CVSS Vector

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

Attack VectorN — None / Network

Attack ComplexityL — Low / Local

Privileges RequiredL — Low / Local

User InteractionN — None / Network

ScopeC — Changed

ConfidentialityH — High

IntegrityH — High

AvailabilityH — High

📋 Quick Facts

Severity Critical

CVSS Score9.9

CWECWE-184

EPSS0.09%

Exploit No

Patch ✓ Yes

Published 2026-02-27

Source Feed nvd

🇸🇦 Saudi Risk Score

10.0

/ 10.0 — Saudi Risk

Priority: CRITICAL

🏷️ Tags

CWE-184

🏢 Vendor Advisories

🔗 https://github.com/openclaw/openclaw/security/adviso...

⚡ Actions

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

CVE-2026-28363

Introduce Yourself

Sign In Required