Akiyama Mio

**Nome do Software Vulnerável e Versões Afetadas** OpenClaw versões 2026.4.9 through 2026.4.9 **Descrição** Existe uma falha de bypass de política de remetente no auxiliar de leitura de anexos de mídia de host de saída. Este problema permite a divulgação não autorizada de arquivos locais quando as implementações permitem a leitura do host ou a expansão da raiz do sistema de arquivos no nível global ou do agente, mas dependem de políticas de remetente ou de grupo para negar o acesso de `read` para certos participantes. Atacantes com acesso de leitura negado via `toolsBySender` ou política de grupo podem disparar o carregamento de anexos de mídia do host para ignorar os limites de autorização e recuperar arquivos locais legíveis através do caminho de mídia de saída. **Recomendações** Atualize para a versão 2026.4.10.

**Nome do Software Vulnerável e Versões Afetadas** OpenClaw versões 2026.4.7 a 2026.4.9 **Descrição** A falha na normalização dos parâmetros de imagem de capa de eventos do Discord no processamento de mídia do sandbox permite que invasores ignorem a normalização de mídia. Isso possibilita a injeção de referências de mídia local do host em caminhos de ação de canal que esperam mídia normalizada. O problema envolve especificamente o parâmetro `eventCreate.image`. **Recomendações** Atualize para a versão 2026.4.10 ou posterior.

**Nome do Software Vulnerável e Versões Afetadas** OpenClaw versões anteriores a 2026.4.4 **Descrição** Existe uma condição de corrida (race condition) no processo de autenticação de segredo compartilhado. Isso permite que solicitações assíncronas simultâneas ignorem o orçamento de limite de taxa por chave, permitindo que invasores enviem múltiplas tentativas de autenticação simultâneas para burlar as proteções de limite de taxa em caminhos compatíveis com Tailscale. **Recomendações** Atualize para a versão 2026.4.4.