Post by Berk Dedekargınoğlu
Offensive Security Engineer | Vulnerability Researcher | 14+ CVEs | Building MentionCheck
OpenClaw (eski adıyla Clawdbot) üzerinde yaptığım güvenlik incelemesi sırasında user-controlled environment variable’ların shell komut dizgesi oluşturulurken doğrudan kullanılması nedeniyle bir command injection zafiyeti tespit ettim. Bu bulgu CVE-2026-24763 olarak kayda geçti. Sorun, shell komutları oluşturulurken PATH environment variable’ının güvenli olmayan biçimde işlenmesinden kaynaklanıyordu. Bir kullanıcının environment değişkenleri üzerindeki kontrolü, container içinde istenmeyen komut çalıştırılmasına imkan verebiliyordu. Bu vaka, özellikle Docker + shell + environment değişkenlerinin kesiştiği noktalarda, dış girdilerin ne kadar dikkatli ele alınması gerektiğini gösteren güzel bir örnek oldu. Sorumlu bildirim sürecinin ardından OpenClaw ekibiyle koordineli şekilde zafiyet, 2026.1.29 sürümünde giderildi. Süreç boyunca hızlı geri dönüşleri ve iş birliği için OpenClaw ekibine teşekkür ederim. https://lnkd.in/ddBwFFhV https://lnkd.in/dFhjP7T9 #OffensiveSecurity #VulnerabilityResearch #CVE202624763 #OpenClaw #Clawdbot