CVE-2026-35641OpenClaw 2026.3.24 之前的版本在本地插件和钩子安装过程中存在任意代码执行漏洞。攻击者可以通过精心制作的 .npmrc 文件覆盖 git 可执行文件路径。当 npm install 在暂存包目录中执行时,利用 git 依赖项触发执行攻击者控制的配置文件中指定的任意程序。
该漏洞源于 OpenClaw 在处理本地插件和钩子安装时,未能正确验证 .npmrc 配置文件的安全性。攻击者可以构造恶意的 .npmrc 文件,并在其中设置 git 可执行文件的覆盖路径。当系统在暂存包目录中执行 npm install 且该包包含 git 依赖项时,npm 将调用攻击者在 .npmrc 中指定的恶意程序,从而导致任意代码在系统上被执行。
暂无PoC代码
暂无版本信息