Vulnerabilities ›

CVE-2026-41369

Medium

CWE-668 — Weakness Type

                    Published: Apr 28, 2026                      ·  Modified: Apr 30, 2026                      ·  Source: NVD                

CVSS v3

6.5

🔗 NVD Official

📄 Description (English)

OpenClaw before 2026.3.31 contains insufficient environment variable sanitization in host exec operations, failing to filter package, registry, Docker, compiler, and TLS override variables. Attackers can exploit this by injecting malicious environment variables to override critical system configurations and compromise host execution integrity.

🤖 AI Executive Summary

OpenClaw before version 2026.3.31 has insufficient sanitization of environment variables in host execution operations, allowing attackers to inject malicious variables that override critical system configurations. This vulnerability enables compromise of host execution integrity through environment variable injection attacks.

📄 Description (Arabic)

يفتقر OpenClaw قبل الإصدار 2026.3.31 إلى تنقية كافية لمتغيرات البيئة المستخدمة في عمليات التنفيذ على المضيف، مما يسمح بحقن متغيرات ضارة. يمكن للمهاجمين استغلال هذا الضعف لتجاوز التكوينات الحرجة مثل إعدادات الحزم والسجل و Docker والمترجم و TLS.

🤖 ملخص تنفيذي (AI)

إصدارات OpenClaw السابقة للإصدار 2026.3.31 تحتوي على تنقية غير كافية لمتغيرات البيئة في عمليات التنفيذ على المضيف، مما يسمح للمهاجمين بحقن متغيرات ضارة تتجاوز التكوينات الحرجة للنظام. يمكّن هذا الضعف من تعريض سلامة تنفيذ المضيف للخطر من خلال هجمات حقن متغيرات البيئة.

🤖 AI Intelligence Analysis Analyzed: May 10, 2026 21:17

🇸🇦 Saudi Arabia Impact Assessment

Saudi Relevance: medium

🏢 Affected Saudi Sectors

telecom government banking energy

🎯 MITRE ATT&CK Techniques

T1547.001 T1574.008 T1574.010

⚖️ Saudi Risk Score (AI)

6.0

/ 10.0

🔧 Remediation Steps (English)

Upgrade OpenClaw to version 2026.3.31 or later immediately. Implement strict environment variable validation and filtering for package, registry, Docker, compiler, and TLS override variables. Apply principle of least privilege for process execution and monitor environment variable modifications in production systems.

🔧 خطوات المعالجة (العربية)

قم بترقية OpenClaw إلى الإصدار 2026.3.31 أو أحدث فوراً. طبّق التحقق الصارم من متغيرات البيئة والتصفية لمتغيرات الحزمة والسجل و Docker والمترجم و TLS. طبّق مبدأ الامتيازات الأقل لتنفيذ العمليات ومراقبة تعديلات متغيرات البيئة في أنظمة الإنتاج.

📋 Regulatory Compliance Mapping

🟢 NCA ECC 2024

A.7.2.1 A.12.6.1 A.14.2.1

🔵 SAMA CSF

ID.BE-1 PR.DS-6 PR.IP-1

🟡 ISO 27001:2022

A.5.1.1 A.12.2.1 A.14.2.1

🔗 References & Sources 3

🔗

https://github.com/openclaw/openclaw/commit/eb8de6715f02949c21c4e895fffc8a6dcb00975c

disclosure@vulncheck.com

Patch

🔗

https://github.com/openclaw/openclaw/security/advisories/GHSA-cg7q-fg22-4g98

disclosure@vulncheck.com

Vendor Advisory

🔗

https://www.vulncheck.com/advisories/openclaw-insufficient-environment-variable-sanitiz...

disclosure@vulncheck.com

Third Party Advisory

📦 Affected Products / CPE 1 entries

openclaw:openclaw

📊 CVSS Score

6.5

/ 10.0 — Medium

📊 CVSS Vector

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N

Attack VectorN — None / Network

Attack ComplexityL — Low / Local

Privileges RequiredL — Low / Local

User InteractionN — None / Network

ScopeU — Unchanged

ConfidentialityH — High

IntegrityN — None / Network

AvailabilityN — None / Network

📋 Quick Facts

Severity Medium

CVSS Score6.5

CWECWE-668

EPSS0.05%

Exploit No

Patch ✗ No

Published 2026-04-28

Source Feed nvd

🇸🇦 Saudi Risk Score

6.0

/ 10.0 — Saudi Risk

Priority: MEDIUM

🏷️ Tags

CWE-668

🏢 Vendor Advisories

🔗 https://github.com/openclaw/openclaw/security/adviso...

⚡ Actions

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

💬 Comments

Loading comments

CVE-2026-41369

💬 Comments

Introduce Yourself

Sign In Required