OpenClaw before 2026.4.20 contains an improper environment variable validation vulnerability in MCP stdio server configuration that allows attackers to execute arbitrary code. Malicious workspace configurations can pass dangerous startup variables like NODE_OPTIONS, LD_PRELOAD, or BASH_ENV to spawned MCP server processes, enabling code injection when operators start sessions using those servers.
OpenClaw before version 2026.4.20 has an improper environment variable validation vulnerability in MCP stdio server configuration that allows arbitrary code execution through malicious workspace configurations. Attackers can inject dangerous startup variables like NODE_OPTIONS, LD_PRELOAD, or BASH_ENV to compromise MCP server processes when operators initiate sessions.
تؤثر هذه الثغرة على خوادم OpenClaw MCP التي تستخدم تكوينات مساحة عمل غير موثوقة، حيث يمكن للمهاجمين تمرير متغيرات بيئة خطيرة لتنفيذ أكواد عشوائية. تعتمد الهجمات على قدرة المشغل على إنشاء أو تعديل تكوينات مساحة العمل، مما يجعلها تهديداً كبيراً في بيئات التعاون متعددة المستخدمين.
OpenClaw قبل الإصدار 2026.4.20 يحتوي على ثغرة في التحقق من متغيرات البيئة في تكوين خادم MCP stdio تسمح بتنفيذ أكواد عشوائية. يمكن للمهاجمين حقن متغيرات خطيرة مثل NODE_OPTIONS و LD_PRELOAD و BASH_ENV للتأثير على عمليات خادم MCP عند بدء المشغلين للجلسات.
Upgrade OpenClaw to version 2026.4.20 or later immediately. Implement strict input validation and sanitization for all environment variables in workspace configurations. Restrict workspace configuration permissions to trusted administrators only. Monitor and audit MCP server startup processes for suspicious environment variable usage. Disable or restrict dangerous environment variables (NODE_OPTIONS, LD_PRELOAD, BASH_ENV) at the system level where possible.
قم بترقية OpenClaw إلى الإصدار 2026.4.20 أو أحدث فوراً. طبق التحقق الصارم والتنظيف لجميع متغيرات البيئة في تكوينات مساحة العمل. قيد صلاحيات تكوين مساحة العمل للمسؤولين الموثوقين فقط. راقب وتدقق عمليات بدء خادم MCP للكشف عن استخدام متغيرات البيئة المريبة. عطل أو قيد متغيرات البيئة الخطيرة على مستوى النظام حيثما أمكن.