Christos-Eth

**Name of the Vulnerable Software and Affected Versions** Astro versions 2.10.10 through 5.18.0 **Description** Astro’s remotePatterns path enforcement for remote URLs used by server-side fetchers, such as the image optimization endpoint, is affected by an issue. The path matching logic for /* wildcards is unanchored, allowing a pathname containing the allowed prefix later in the path to still match. This can allow an attacker to fetch paths outside the intended allowlisted prefix on an otherwise allowed host. **Recommendations** Update to version 5.18.1 or later.

**Nome do Software Vulnerável e Versões Afetadas** versões do openclaw anteriores a 2026.2.14 **Descrição** A validação da lista de permissões exec-approvals do OpenClaw verifica tokens antes da expansão, mas a execução utiliza a expansão do shell. Isso permite que binários seguros, como head, tail ou grep, leiam arquivos locais arbitrários por meio de padrões glob ou variáveis de ambiente. Um chamador autorizado ou um ataque de injeção de prompt pode explorar isso para revelar arquivos legíveis pelo processo do gateway ou nó quando a execução no host está habilitada no modo de lista de permissões. O problema depende da configuração e não é ativado pelas configurações padrão. O componente vulnerável utiliza o shell `sh -c` para execução. **Recomendações** Atualize para a versão 2026.2.14 ou posterior.

**Nome do Software Vulnerável e Versões Afetadas** OpenClaw, versões 2026.2.13 e anteriores **Descrição** Existe um bypass de lista de permissões no pacote npm OpenClaw. Essa falha causa uma discrepância entre os comandos que são verificados e os comandos que são efetivamente executados, podendo levar à execução de comandos indesejados e ao comprometimento da segurança. O problema decorre de um desacoplamento lógico em que o código parece correto, mas funciona incorretamente. A análise estática pode não detectar esse tipo de vulnerabilidade, já que se concentra na sintaxe em vez da intenção. A função `system(.)run` é especificamente mencionada como um possível ponto de entrada para exploração. **Recomendações** Versões anteriores à versão 2026.2.14 devem ser atualizadas para a versão 2026.2.14 ou posterior. Deixe de confiar em expressões regulares para validação de comandos. Evite verificações de segurança que analisam a Variável A enquanto o motor de execução executa a Variável B, pois isso cria uma lacuna lógica.