Christopher Lusk

**Nome do Software Vulnerável e Versões Afetadas** Vim versões anteriores a 9.2.0496 **Descrição** Um problema de injeção de código existe na função `s:stepmatch()` dentro do plugin de tipo de arquivo cucumber (`runtime/ftplugin/cucumber.vim`) para builds com suporte +ruby. Padrões de definição de etapa lidos de arquivos `.rb` nos diretórios `features/*/` ou `stories/*/` são incorporados em um argumento `Kernel.eval` do Ruby sem a sanitização adequada. Isso permite que um padrão malicioso em um repositório controlado por um invasor execute código Ruby e comandos de shell arbitrários quando o usuário invoca um mapeamento de salto de etapa ([d, ]d). **Recomendações** Atualize para a versão 9.2.0496.

**Nome do Software Vulnerável e Versões Afetadas** OpenShift Cloud Credential Operator (versões afetadas não especificadas) **Descrição** Uma falha foi encontrada nas políticas de IAM do modo Mint para AWS no OpenShift Cloud Credential Operator. As credenciais do operador são provisionadas com escopo de conta inteira para ações destrutivas, em vez de serem restringidas aos recursos de propriedade do cluster. Essa configuração permite um impacto entre escopos após o comprometimento das credenciais. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** OpenClaw versões anteriores a 2026.3.31 **Descrição** Um problema de path traversal existe no componente ACP dispatch. Isso permite que atacantes remotos leiam arquivos arbitrários ao manipular caminhos de anexo de canais de entrada, ignorando as verificações de diretório raiz e o attachment-cache. **Recomendações** Atualize para a versão 2026.3.31.

**Nome do Software Vulnerável e Versões Afetadas** OpenClaw versões anteriores a 2026.3.31 **Descrição** Um problema de limpeza incompleta de escopo existe no modo de autenticação de proxy confiável, permitindo a escalada de privilégios para operator.admin. Atacantes podem explorar isso declarando escopos de operador em clientes que não sejam do Control-UI, permitindo que escopos autodeclarados persistam em caminhos de autenticação com suporte a identidade. **Recomendações** Atualize para a versão 2026.3.31.