1. 分析用户请求: 目标:总结网页截图中的漏洞关键信息。 格式:简洁的中文Markdown。 包含内容:漏洞概述、影响范围、修复方案。 特殊要求:如果有POC或利用代码,必须完整提取。 约束:直接输出中文总结,不要分析过程,跳过无关信息(导航栏、页脚等)。 2. 提取关键信息: 标题/漏洞名称:Complex interpreter pipelines could skip exec script preflight validation(复杂的解释器管道可能会跳过 exec 脚本的预执行验证)。 严重程度 (Severity):Moderate(中等)。 CVE ID:No known CVE(暂无已知CVE)。 受影响包 (Affected Packages): 。 受影响版本 (Affected versions): 。 修复版本 (Patched versions): 。 描述 (Description): Summary (摘要):在 OpenClaw 2026.4.2 之前,复杂的解释器调用(如管道或更复杂的命令形式)可能会导致 exec 脚本预执行验证失败。在这些情况下,脚本内容验证会被完全跳过。 Impact (影响):攻击者构造的命令可能会绕过预期的脚本预执行验证,从而在脚本执行前注入恶意脚本内容。这削弱了旨在阻止执行恶意脚本内容的防御性深度防御机制。 修复方案 (Fix Commit): - close the fall-open bypass in exec script preflight。 Release Process Note (发布说明):修复已存在于 main 分支,并针对 OpenClaw 2026.4.2 进行了标记。在 2026.4.2 npm 版本发布后发布此公告。 POC/利用代码:页面中没有提供具体的 POC 代码块,只描述了漏洞原理(复杂的解释器调用)。 3. 组织语言(中文): 漏洞概述:OpenClaw 在 2026.4.2 版本之前存在一个中等严重程度的漏洞。当使用复杂的解释器调用(例如管道或更复杂的命令形式)时,exec 脚本的预执行验证可能会失败,导致脚本内容验证被完全跳过。攻击者可以利用构造的命令绕过预期的验证,在脚本执行前注入恶意内容,从而削弱防御机制。 影响范围: 包名:openclaw (npm) 受影响版本:= 2026.4.2 修复方案:升级 openclaw 到 2026.4.2 或更高版本。修复提交哈希为 。 4. 最终检查: 是否包含POC?没有,所以不需要提取代码块。 是否简洁?是。 是否包含所有要求的信息?是。 5. 生成输出。 漏洞概述 漏洞名称:Complex interpreter pipelines could skip exec script preflight validation(复杂的解释器管道可能会跳过 exec 脚本的预执行验证) 严重程度:Moderate(中等) CVE ID:No known CVE 在 OpenClaw 2026.4.2 版本之前,当使用复杂的解释器调用(例如管道或更复杂的命令形式)时,exec 脚本的预执行验证可能会失败。在这些情况下,脚本内容验证会被完全跳过。攻击者可以通过构造特定的命令来绕过预期的脚本预执行验证,从而在脚本执行前注入恶意脚本内容。这削弱了旨在阻止执行恶意脚本内容的防御性深度防御机制。 影响范围 受影响包:openclaw (npm) 受影响版本:= 2026.4.2 修复方案 升级 包至 2026.4.2 或更高版本。 修复提交 (Fix Commit): - close the fall-open bypass in exec script preflight