漏洞概述 漏洞名称: PicoClaw up to 0.2.4 Web Launcher Plane /api/gateway/restart command injection 漏洞编号: CVE-2026-6987 CVSS 评分: 6.6 (CVSS v3.1) 漏洞类型: 命令注入 (Command Injection) 漏洞描述: 在 PicoClaw up to 0.2.4 中发现了一个被标记为 critical 的漏洞。受影响的元素是 Web Launcher 组件的 文件中的一个未知函数。该漏洞允许远程攻击者通过构造恶意命令来执行任意命令注入。 影响范围 受影响版本: PicoClaw 0.2.0, 0.2.1, 0.2.2, 0.2.3, 0.2.4 影响组件: Web Launcher 组件的 文件 攻击向量: 远程 攻击复杂度: 低 认证要求: 无 影响范围: 机密性、完整性、可用性均受影响 修复方案 当前状态: 项目已通过 issue 报告得知此问题,但尚未回应。 建议措施: 目前没有已知的缓解措施。建议尽快更新到最新版本或寻找替代产品。 其他信息 CVSS 向量: CWE 定义: CWE-77 (命令注入) CAPEC: 未定义 ATT&CK: 未定义 物理访问: 否 本地访问: 否 远程访问: 是 可用性: 未定义 状态: 概念验证 价格预测: 未定义 当前价格估算: 未定义 时间线 2026年4月24日: 漏洞披露 2026年4月25日: VulDB 条目创建 2026年4月25日: VulDB 条目最后更新 来源 CVE: CVE-2026-6987 GCVE (VulDB): GCVE-100-399530 EUVDB: 未定义 scip Labs: https://www.scip.ch/en/?labs.20161013 提交信息 提交编号: #796336 提交内容: PicoClaw V0.2.4 Command execution by AiSec 讨论 暂无评论。语言:en。 --- 注意: 页面中未包含 POC 代码或利用代码。