OpenClaw versions prior to 2026.2.24 contain a command injection vulnerability in the system.run shell-wrapper that allows attackers to execute hidden commands by injecting positional argv carriers after inline shell payloads. Attackers can craft misleading approval text while executing arbitrary commands through trailing positional arguments that bypass display context validation.
OpenClaw versions before 2026.2.24 contain a command injection vulnerability in the system.run shell-wrapper allowing arbitrary command execution through positional argument injection. Attackers can bypass approval validation by crafting misleading text while executing hidden commands via trailing arguments.
تؤثر هذه الثغرة على نظام OpenClaw حيث يمكن للمهاجمين استغلال معالجة المعاملات الموضعية غير الآمنة لتنفيذ أوامر عشوائية. يتم تجاوز آليات التحقق من الموافقة من خلال صياغة نصوص موافقة مضللة بينما يتم تنفيذ الأوامر الفعلية بشكل خفي عبر المعاملات الزائدة.
إصدارات OpenClaw السابقة للإصدار 2026.2.24 تحتوي على ثغرة حقن أوامر في غلاف system.run تسمح بتنفيذ أوامر عشوائية من خلال حقن معاملات موضعية. يمكن للمهاجمين تجاوز التحقق من الموافقة بصياغة نصوص مضللة مع تنفيذ أوامر مخفية.
Upgrade OpenClaw to version 2026.2.24 or later immediately. Implement input validation and sanitization for all command-line arguments. Restrict shell wrapper execution privileges using principle of least privilege. Monitor and audit system.run function calls for suspicious positional arguments.
قم بترقية OpenClaw إلى الإصدار 2026.2.24 أو أحدث فوراً. طبق التحقق من صحة المدخلات وتنظيفها لجميع معاملات سطر الأوامر. قيد امتيازات تنفيذ غلاف الأوامر باستخدام مبدأ أقل امتياز. راقب وتدقق استدعاءات دالة system.run للكشف عن معاملات موضعية مريبة.