Anshuman Bhartiya

#11003de 53,635
25CVSS total
Vulnerabilidades · 4
Média
3
Alta
1
PT-2026-49030
4.3
2026-06-12
Openclaw · Openclaw · CVE-2026-53826
**Nome do Software Vulnerável e Versões Afetadas** OpenClaw versões anteriores a 2026.4.26 **Description** Um problema de divulgação de informações existe na criação de sessões em sandbox que expõe o caminho real do espaço de trabalho para prompts filhos. Isso permite que atacantes revelem a localização do espaço de trabalho do host ou o contexto de memória relacionado a modelos filhos ao criar sessões filhas a partir de pais em sandbox. **Recommendations** Atualize para a versão 2026.4.26.
PT-2026-49031
6.5
2026-06-12
Openclaw · Openclaw · CVE-2026-53827
**Nome do Software Vulnerável e Versões Afetadas** OpenClaw versões anteriores a 2026.5.2 **Description** Um problema no encaminhamento de message.action permite que metadados controlados pelo modelo encaminhem payloads de ação contendo credenciais do Gateway para URLs de loopback fornecidas por um invasor. Atacantes remotos podem interceptar tokens do Gateway e payloads de ação ao fornecer alvos de loopback maliciosos por meio de metadados de ação controlados pelo modelo. **Recommendations** Atualizar para a versão 2026.5.2.
PT-2026-49037
7.7
2026-06-12
Openclaw · Openclaw · CVE-2026-53833
**Nome do Software Vulnerável e Versões Afetadas** OpenClaw versões anteriores a 2026.4.29 **Description** Existe uma falha de bypass de autorização no comando de streaming do QQBot. Este problema permite que remetentes autenticados modifiquem configurações sem restrições explícitas de `allowFrom`. Atacantes podem contornar as políticas de administrador pretendidas ao acessar o comando afetado quando não há requisitos de entrada de lista de permissões (allowlist) que não sejam curingas. **Recommendations** Atualize para a versão 2026.4.29 ou posterior.
PT-2026-37029
6.5
2026-04-17
Openclaw · Openclaw · CVE-2026-43574
**Nome do Software Vulnerável e Versões Afetadas** OpenClaw versões anteriores a 2026.4.12 **Descrição** Um problema de autorização inadequada existe em canais baseados em auxiliares (helper-backed channels), onde listas de aprovadores resolvidas vazias são interpretadas como autorização de aprovação explícita. Esta falha de lógica permite que atacantes resolvam aprovações pendentes sem a devida autorização, desde que possuam um `approval id`. **Recomendações** Atualize para a versão 2026.4.12 ou posterior.