Post by Berk Dedekargınoğlu

Offensive Security Engineer | Vulnerability Researcher | 14+ CVEs | Building MentionCheck

OpenClaw (eski adıyla Clawdbot) üzerinde yaptığım güvenlik incelemesi sırasında user-controlled environment variable’ların shell komut dizgesi oluşturulurken doğrudan kullanılması nedeniyle bir command injection zafiyeti tespit ettim. Bu bulgu CVE-2026-24763 olarak kayda geçti. Sorun, shell komutları oluşturulurken PATH environment variable’ının güvenli olmayan biçimde işlenmesinden kaynaklanıyordu. Bir kullanıcının environment değişkenleri üzerindeki kontrolü, container içinde istenmeyen komut çalıştırılmasına imkan verebiliyordu. Bu vaka, özellikle Docker + shell + environment değişkenlerinin kesiştiği noktalarda, dış girdilerin ne kadar dikkatli ele alınması gerektiğini gösteren güzel bir örnek oldu. Sorumlu bildirim sürecinin ardından OpenClaw ekibiyle koordineli şekilde zafiyet, 2026.1.29 sürümünde giderildi. Süreç boyunca hızlı geri dönüşleri ve iş birliği için OpenClaw ekibine teşekkür ederim. https://lnkd.in/ddBwFFhV https://lnkd.in/dFhjP7T9 #OffensiveSecurity #VulnerabilityResearch #CVE202624763 #OpenClaw #Clawdbot

Post content