Adam55A-Code

**Nome do Software Vulnerável e Versões Afetadas** Versões do OpenClaw 2026.2.17 e inferiores **Descrição** O OpenClaw é um assistente de IA pessoal. A entrega de webhook cron em `src/gateway/server-cron.ts` utiliza a função `fetch()` diretamente, permitindo que os alvos do webhook acessem endpoints privados, de metadados e internos sem verificações de política de Falsificação de Solicitação do Lado do Servidor (SSRF). Isso poderia potencialmente permitir acesso não autorizado a recursos internos. A Falsificação de Solicitação do Lado do Servidor (SSRF) é uma falha de segurança web que permite que um atacante faça o servidor realizar solicitações HTTP para um domínio arbitrário de escolha do atacante. **Recomendações** Versões anteriores à 2026.2.19 são afetadas. Atualize o OpenClaw para a versão 2026.2.19 ou posterior.

**Nome do Software Vulnerável e Versões Afetadas** Versões do OpenClaw anteriores a 2026.2.15 **Descrição** Existe uma vulnerabilidade de Cross-Site Scripting (XSS) Armazenado na Interface de Controle do OpenClaw ao renderizar a identidade do assistente (nome/avatar) em uma tag `<script>` inline sem o escaping adequado. Um valor manipulado contendo `</script>` poderia permitir que um atacante saísse da tag script e executasse JavaScript arbitrário na origem da Interface de Controle. O problema originou-se da injeção direta de `assistantName` e `assistantAvatar` em um bloco `<script>` inline usando `JSON.stringify(...)`, o que não impede que a sequência `</script>` termine o elemento script. Um atacante com a capacidade de definir valores de identidade do assistente poderia potencialmente roubar tokens ou sessões e realizar ações privilegiadas na interface. **Recomendações** Versões anteriores a 2026.2.15 devem ser atualizadas para a versão 2026.2.15 ou posterior. Esta atualização remove a injeção de script inline, serve a configuração de bootstrap a partir de um endpoint JSON e adiciona uma Política de Segurança de Conteúdo restritiva para a Interface de Controle (`script-src 'self'`, sem scripts inline).

**Nome do Software Vulnerável e Versões Afetadas** Versões do OpenClaw anteriores à 2026.2.15 **Descrição** Existe uma falha no processo de instalação da skill `download` do OpenClaw, especificamente em versões anteriores à 2026.2.15. A validação insuficiente dos valores de `targetDir` dentro do frontmatter da skill permitiu a potencial escrita de arquivos fora do sandbox de instalação pretendido durante o fluxo `skills.install`, exclusivo para administradores. Isso poderia ocorrer quando o valor de `targetDir` não era estritamente validado. **Recomendações** Atualize para o OpenClaw versão 2026.2.15 ou posterior.