← Back
CVE-2026-53864
high
CVSS 8.1
OpenClaw: Host environment sanitizer missed two Node.js control variables
Summary
OpenClaw: Host environment sanitizer missed two Node.js control variables
AI summary openai / gpt-4o
OpenClawのバージョン2026.5.26以前には、ホスト環境のサニタイザにおいて不十分なサニタイズの脆弱性がある。この脆弱性により、攻撃者はNode.jsの制御変数をバリデーションを無効にして渡すことができ、それを用いて子プロセスやカバレッジ出力パスに影響を与えることが可能になる。
❓ What is the problem
OpenClawのホスト環境サニタイザにおける不十分なサニタイゼーションの脆弱性。
📍 Affected scope
OpenClawのバージョン2026.5.26以前。
🔥 Severity
攻撃者がNode.jsの制御変数を利用し、子プロセスやカバレッジ出力パスに影響を与える可能性がある。
🔧 How to fix
OpenClawのバージョンを2026.5.26以降にアップデートする。
🛡️ Workaround
環境変数へのアクセス制御を強化し、信頼できないユーザーによる改変を防ぐ。
🔍 Detection
脆弱なバージョンのOpenClawを使用しているかを確認する。
Affected packages
npm
openclaw
[{"type":"ECOSYSTEM","events":[{"introduced":"0"},{"fixed":"2026.5.26"}]}]