妙尽璇机

Nome do Software Vulnerável e Versões Afetadas OpenClaw versões anteriores a 2026.3.24 Descrição Versões do OpenClaw anteriores a 2026.3.24 contêm uma vulnerabilidade de execução arbitrária de código durante a instalação local de plugins e hooks. Atacantes podem explorar isso criando um arquivo `.npmrc` malicioso com uma substituição de executável git. Durante a execução do `npm install` no diretório de pacote em fase de preparação, os atacantes podem usar dependências git para acionar a execução de programas arbitrários especificados no arquivo de configuração `.npmrc` controlado pelo atacante. A vulnerabilidade reside no fato de que o processo de instalação não remove o arquivo `.npmrc` raiz do projeto, permitindo que um atacante substitua o caminho do executável `git` do npm. Isso pode levar à execução arbitrária de código local durante a fase de instalação. Os caminhos afetados incluem os pontos de entrada CLI de plugin e hook, bem como as rotinas de instalação de diretório/arquivo local de plugin e hook. A vulnerabilidade é acionada quando um usuário instala um plugin ou hook local usando comandos como `openclaw plugins install <path-or-spec>` ou `openclaw hooks install <path-or-spec>`, onde `<path-or-spec>` aponta para um pacote malicioso contendo o arquivo `.npmrc` criado e uma dependência git. A questão é considerada uma preocupação de segurança porque permite a execução de código durante o processo de instalação, antes que o plugin ou hook seja considerado confiável. A vulnerabilidade afeta tanto as instalações de plugins quanto de hooks. Recomendações Atualize para a versão 2026.3.24 ou posterior do OpenClaw.