OpenClaw before 2026.4.23 contains an arbitrary code execution vulnerability in the bundled plugin setup resolver that loads setup-api.js from process.cwd() during provider setup metadata resolution. Attackers can execute arbitrary JavaScript under the current user account by placing a malicious extensions/<plugin>/setup-api.js file in a repository and convincing a user to run OpenClaw commands from that directory.
OpenClaw before 2026.4.23 allows arbitrary code execution through a malicious setup-api.js file placed in a repository's extensions directory. An attacker can execute arbitrary JavaScript with the privileges of the user running OpenClaw commands.
يحتوي OpenClaw على ثغرة في آلية حل متطلبات إعداد المكون الإضافي حيث يتم تحميل ملف setup-api.js من دليل العملية الحالي دون التحقق الكافي. يمكن للمهاجمين استغلال هذه الثغرة بوضع ملف setup-api.js ضار في مجلد extensions/<plugin> وإقناع المستخدم بتشغيل أوامر OpenClaw من ذلك الدليل.
إصدارات OpenClaw السابقة للإصدار 2026.4.23 تسمح بتنفيذ أكواد عشوائية من خلال ملف setup-api.js ضار موضوع في مجلد extensions بالمستودع. يمكن للمهاجم تنفيذ أكواد JavaScript عشوائية بامتيازات المستخدم الذي يقوم بتشغيل أوامر OpenClaw.
Upgrade OpenClaw to version 2026.4.23 or later immediately. Implement code review processes for all repository changes before execution. Restrict execution of OpenClaw commands to trusted directories only. Use principle of least privilege for user accounts running OpenClaw. Monitor and validate all plugin setup files before loading.
قم بترقية OpenClaw إلى الإصدار 2026.4.23 أو أحدث فوراً. طبق عمليات مراجعة الأكواد لجميع تغييرات المستودع قبل التنفيذ. قيد تنفيذ أوامر OpenClaw على المجلدات الموثوقة فقط. استخدم مبدأ أقل امتياز لحسابات المستخدمين التي تقوم بتشغيل OpenClaw. راقب والتحقق من جميع ملفات إعداد المكونات الإضافية قبل التحميل.