الثغرات ›

CVE-2026-41384

مرتفع

CWE-15 — نوع الضعف

                    نُشر: Apr 28, 2026                      ·  آخر تحديث: May 5, 2026                      ·  المصدر: NVD                

CVSS v3

7.8

🔗 NVD الرسمي

📄 الوصف (الإنجليزية)

OpenClaw before 2026.3.24 contains an environment variable injection vulnerability in the CLI backend runner that allows attackers to inject malicious environment variables through workspace configuration. Attackers can craft malicious workspace configs to inject arbitrary environment variables into the backend process spawning, enabling code execution or sensitive data exposure.

🤖 ملخص AI

OpenClaw before version 2026.3.24 contains an environment variable injection vulnerability in its CLI backend runner that allows attackers to inject malicious environment variables through workspace configuration. This vulnerability can lead to arbitrary code execution or exposure of sensitive data when processing crafted workspace configurations.

📄 الوصف (العربية)

تحتوي نسخ OpenClaw السابقة للإصدار 2026.3.24 على ثغرة حقن متغيرات بيئة في مشغل واجهة سطر الأوامر الخلفية. يمكن للمهاجمين استغلال هذه الثغرة من خلال تصميم ملفات تكوين مساحة عمل ضارة لحقن متغيرات بيئة عشوائية. قد يؤدي هذا إلى تنفيذ كود عشوائي أو الكشف عن معلومات حساسة.

🤖 ملخص تنفيذي (AI)

إصدارات OpenClaw السابقة للإصدار 2026.3.24 تحتوي على ثغرة حقن متغيرات البيئة في مشغل واجهة سطر الأوامر الخلفية. يمكن للمهاجمين استغلال هذه الثغرة لتنفيذ كود عشوائي أو الكشف عن البيانات الحساسة من خلال تكوينات مساحة العمل الضارة.

🤖 التحليل الذكي آخر تحليل: May 4, 2026 04:19

🇸🇦 التأثير على المملكة العربية السعودية

Saudi Relevance: high

🏢 القطاعات السعودية المتأثرة

government telecom banking energy

🎯 تقنيات MITRE ATT&CK

T1547.001 T1203 T1059.001 T1574.008

⚖️ درجة المخاطر السعودية (AI)

8.0

/ 10.0

🔧 Remediation Steps (English)

Upgrade OpenClaw to version 2026.3.24 or later immediately. Implement strict validation and sanitization of workspace configuration files. Restrict file permissions on workspace configuration directories. Monitor environment variable usage in backend processes. Implement principle of least privilege for CLI runner processes.

🔧 خطوات المعالجة (العربية)

قم بترقية OpenClaw إلى الإصدار 2026.3.24 أو أحدث فوراً. طبق التحقق الصارم والتنظيف على ملفات تكوين مساحة العمل. قيد أذونات الملفات على مجلدات تكوين مساحة العمل. راقب استخدام متغيرات البيئة في العمليات الخلفية. طبق مبدأ أقل صلاحية للعمليات التي تشغل واجهة سطر الأوامر.

📋 خريطة الامتثال التنظيمي

🟢 NCA ECC 2024

5.1.1 5.2.1 5.3.2

🔵 SAMA CSF

CC-6.1 CC-6.2 CC-7.2

🟡 ISO 27001:2022

A.14.2.1 A.14.2.5 A.12.6.1

🔗 المراجع والمصادر 3

🔗

https://github.com/openclaw/openclaw/commit/c2fb7f1948c3226732a630256b5179a60664ec24

disclosure@vulncheck.com

Patch

🔗

https://github.com/openclaw/openclaw/security/advisories/GHSA-vfw7-6rhc-6xxg

disclosure@vulncheck.com

Vendor Advisory

🔗

https://www.vulncheck.com/advisories/openclaw-environment-variable-injection-via-worksp...

disclosure@vulncheck.com

Third Party Advisory

📦 المنتجات المتأثرة 1 منتج

openclaw:openclaw

📊 CVSS Score

7.8

/ 10.0 — مرتفع

📊 CVSS Vector

CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

Attack VectorL — Low / Local

Attack ComplexityL — Low / Local

Privileges RequiredN — None / Network

User InteractionR — Required

ScopeU — Unchanged

ConfidentialityH — High

IntegrityH — High

AvailabilityH — High

📋 حقائق سريعة

الخطورة مرتفع

CVSS Score7.8

CWECWE-15

EPSS0.01%

اختراق متاح لا

تصحيح متاح ✓ نعم

تاريخ النشر 2026-04-28

المصدر nvd

المشاهدات 1

🇸🇦 درجة المخاطر السعودية

8.0

/ 10.0 — مخاطر السعودية

أولوية: HIGH

🏷️ الوسوم

patch-available CWE-15

🏢 توجيهات البائع

🔗 https://github.com/openclaw/openclaw/security/adviso...

⚡ إجراءات

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

💬 التعليقات

جارٍ التحميل

CVE-2026-41384

💬 التعليقات

عرّفنا بنفسك

تسجيل الدخول مطلوب