Vulnerabilities ›

CVE-2026-41387

High

CWE-183 — Weakness Type

                    Published: Apr 28, 2026                      ·  Modified: May 5, 2026                      ·  Source: NVD                

CVSS v3

7.8

🔗 NVD Official

📄 Description (English)

OpenClaw before 2026.3.22 contains an incomplete host environment variable sanitization vulnerability in host-env-security-policy.json and host-env-security.ts that allows package-manager environment overrides. Attackers can exploit approved exec requests to redirect package resolution or runtime bootstrap to attacker-controlled infrastructure and execute trojanized content.

🤖 AI Executive Summary

OpenClaw versions before 2026.3.22 have incomplete sanitization of host environment variables, allowing attackers to override package manager settings through approved exec requests. This vulnerability enables redirection of package resolution to attacker-controlled infrastructure and execution of malicious code.

📄 Description (Arabic)

تحتوي ملفات host-env-security-policy.json و host-env-security.ts في OpenClaw على تطهير غير كامل لمتغيرات البيئة، مما يسمح بتجاوز إعدادات مدير الحزم. يمكن للمهاجمين استغلال طلبات التنفيذ الموافق عليها لإعادة توجيه دقة الحزم إلى خوادم خاضعة لسيطرتهم وتنفيذ محتوى مصاب ببرامج ضارة.

🤖 ملخص تنفيذي (AI)

إصدارات OpenClaw السابقة للإصدار 2026.3.22 تحتوي على تطهير غير كامل لمتغيرات بيئة المضيف، مما يسمح للمهاجمين بتجاوز إعدادات مدير الحزم من خلال طلبات exec الموافق عليها. تمكن هذه الثغرة من إعادة توجيه دقة الحزم إلى البنية التحتية التي يتحكم بها المهاجم وتنفيذ رمز ضار.

🤖 AI Intelligence Analysis Analyzed: May 4, 2026 04:19

🇸🇦 Saudi Arabia Impact Assessment

Saudi Relevance: high

🏢 Affected Saudi Sectors

government banking telecom energy

🎯 MITRE ATT&CK Techniques

T1195.001 T1195.003 T1574.008 T1036.003

⚖️ Saudi Risk Score (AI)

8.0

/ 10.0

🔧 Remediation Steps (English)

Immediately upgrade OpenClaw to version 2026.3.22 or later. Implement strict environment variable validation and sanitization policies. Review and restrict package manager environment overrides in security policies. Monitor package resolution requests and validate package sources. Implement network segmentation to prevent unauthorized connections to external package repositories.

🔧 خطوات المعالجة (العربية)

قم بالترقية الفورية إلى OpenClaw الإصدار 2026.3.22 أو أحدث. تطبيق سياسات التحقق والتطهير الصارمة لمتغيرات البيئة. مراجعة وتقييد تجاوزات متغيرات بيئة مدير الحزم في السياسات الأمنية. مراقبة طلبات دقة الحزم والتحقق من مصادر الحزم. تطبيق تقسيم الشبكة لمنع الاتصالات غير المصرح بها بمستودعات الحزم الخارجية.

📋 Regulatory Compliance Mapping

🟢 NCA ECC 2024

A.13.1.1 A.14.1.1 A.14.2.1

🔵 SAMA CSF

ID.SC-4 PR.DS-6 PR.IP-1

🟡 ISO 27001:2022

27001:A.12.3.1 27001:A.14.2.1 27001:A.14.2.5

🔗 References & Sources 2

🔗

https://github.com/openclaw/openclaw/security/advisories/GHSA-j7p2-qcwm-94v4

disclosure@vulncheck.com

Vendor Advisory

🔗

https://www.vulncheck.com/advisories/openclaw-supply-chain-redirection-via-incomplete-h...

disclosure@vulncheck.com

Third Party Advisory

📦 Affected Products / CPE 1 entries

openclaw:openclaw

📊 CVSS Score

7.8

/ 10.0 — High

📊 CVSS Vector

CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

Attack VectorL — Low / Local

Attack ComplexityL — Low / Local

Privileges RequiredN — None / Network

User InteractionR — Required

ScopeU — Unchanged

ConfidentialityH — High

IntegrityH — High

AvailabilityH — High

📋 Quick Facts

Severity High

CVSS Score7.8

CWECWE-183

EPSS0.02%

Exploit No

Patch ✗ No

Published 2026-04-28

Source Feed nvd

🇸🇦 Saudi Risk Score

8.0

/ 10.0 — Saudi Risk

Priority: HIGH

🏷️ Tags

CWE-183

🏢 Vendor Advisories

🔗 https://github.com/openclaw/openclaw/security/adviso...

⚡ Actions

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

💬 Comments

Loading comments

CVE-2026-41387

💬 Comments

Introduce Yourself

Sign In Required