Curly-Haired-Baboon

OpenClaw before 2026.5.12 contains an argument pattern validation bypass in the exec allowlist that allows attackers to execute disallowed arguments for allowlisted executables on Linux and macOS systems. Attackers can bypass configured argPattern restrictions by directly invoking allowlisted executables with unrestricted arguments, potentially enabling unauthorized file access, network access, or command execution.

**Nome do Software Vulnerável e Versões Afetadas** electerm versões anteriores a 3.9.5 **Description** Ocorre uma criptografia de sincronização insegura devido ao uso de AES-192-CBC determinístico com um IV (Vetor de Inicialização) zero fixo, um salt de KDF (Função de Derivação de Chave) constante e a ausência de um MAC (Código de Autenticação de Mensagem). Isso leva a falhas de confidencialidade e integridade para dados de perfis e favoritos sincronizados. Atacantes podem quebrar senhas comuns em diferentes instalações e realizar alterações de bits no texto cifrado (ciphertext bit-flips) não detectadas para modificar configurações e favoritos. **Recommendations** Atualize para a versão 3.9.5.

**Nome do Software Vulnerável e Versões Afetadas** electerm versões anteriores a 3.8.9 **Description** A execução de código local-pty persistente é possível através da importação de arquivos JSON de favoritos ou alvos de sincronização comprometidos, como gist ou WebDAV. Um invasor pode injetar campos `exec*` ou configurações globais para disparar a execução de código remoto quando um favorito é aberto ou quando a sincronização é aplicada. **Recommendations** Evite importar dados inseguros. No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** electerm versões 3.0.6 a 3.8.8 **Description** Um problema de execução de código local existe onde qualquer processo executado sob o mesmo usuário pode enviar um payload JSON para o socket ou pipe de instância única da aplicação. Isso permite que um invasor crie abas e potencialmente inicie processos locais sob seu controle sem a necessidade de interação com a interface do usuário. Isso afeta instalações configuradas como instância única na máquina. **Recommendations** Atualize para a versão 3.9.0. Evite executar comandos inseguros como medida paliativa.

**Nome do Software Vulnerável e Versões Afetadas** SiYuan versões anteriores a 3.7.0 **Descrição** O software não realiza a filtragem (escape) de HTML ao armazenar e renderizar nomes de Visualizações de Atributos (AV). O kernel armazena esses nomes sem escape e utiliza uma substituição de string bruta para incorporá-los em HTML antes de enviá-los aos clientes via WebSocket. Isso permite a injeção de HTML através de três caminhos no cliente: `render.ts` (via `outerHTML`), `Title.ts` (via `innerHTML`) e `transaction.ts` (via `innerHTML`). Como o BrowserWindow principal é configurado com `nodeIntegration: true`, `contextIsolation: false` e `webSecurity: false`, essa injeção de HTML pode ser escalada para a execução de código Node.js (RCE) no desktop da vítima. O payload é persistente, pois é armazenado em disco, replicado por transportes de sincronização (S3, WebDAV, nuvem) e sobrevive a processos de exportação e importação. Ele pode ser acionado por qualquer função de usuário que abra um documento vinculado à AV afetada. Detalhes técnicos incluem o uso do endpoint `/api/transactions` com a ação `setAttrViewName` para implantar o payload. A vulnerabilidade é acessível via requisições de origem local, incluindo aquelas de origens `chrome-extension://` permitidas, permitindo que extensões de navegador maliciosas executem o ataque. **Recomendações** Atualize para a versão 3.7.0. Como mitigação temporária, restrinja o acesso ao endpoint `/api/transactions` ou evite importar arquivos `.sy.zip` de fontes não confiáveis.

**Nome do Software Vulnerável e Versões Afetadas** electerm versões 3.0.6 até 3.8.14 **Descrição** A execução arbitrária de código local pode ocorrer por meio de deep links, CLI `--opts` ou atalhos manipulados. Isso acontece quando um usuário clica em um link `electerm://...` manipulado ou abre um atalho ou comando manipulado que inicia o aplicativo com `opts` controlados por um invasor. **Recomendações** Atualize para a versão 3.8.15. Desative ou desregistre os manipuladores de protocolo do electerm (configurações de Deep Link) e evite clicar em links `electerm://`. Evite executar o aplicativo com argumentos `--opts` não confiáveis ou abrir arquivos `.lnk` ou `.desktop` de fontes não confiáveis. Restrinja quais usuários podem iniciar o aplicativo em máquinas compartilhadas e evite instalá-lo em locais acessíveis a outros usuários. Execute o aplicativo em uma conta confinada ou sandbox (usuário não administrador) para reduzir o impacto.

**Nome do Software Vulnerável e Versões Afetadas** PraisonAI versões anteriores a 4.6.34 **Descrição** O servidor Model Context Protocol (MCP) no PraisonAI contém uma falha de travessia de caminho (path traversal) em suas ferramentas de manipulação de arquivos. O servidor registra quatro ferramentas por padrão: 'praisonai.rules.create', 'praisonai.rules.show', 'praisonai.rules.delete' e 'praisonai.workflow.show'. Essas ferramentas aceitam strings de caminho ou nome de arquivo através do endpoint `tools/call` e as anexam ao diretório `~/.praison/rules/` (ou aceitam caminhos absolutos no caso de 'praisonai.workflow.show') sem realizar verificações de contenção. Além disso, o despachante JSON-RPC passa `params["arguments"]` para os manipuladores via `**kwargs` sem validá-los em relação ao esquema de entrada. Um invasor pode usar a variável `rule name` com sequências de travessia (ex: `../../`) para ler, escrever ou excluir qualquer arquivo para o qual o usuário em execução tenha permissões. Isso pode ser escalado para execução remota de código ao escrever um arquivo Python `.pth` no diretório site-packages do usuário, que é então executado por qualquer processo Python subsequente iniciado pelo usuário. Este problema pode ser acionado via um LLM conectado ao MCP através de injeção de prompt indireta (ex: conteúdo web malicioso), ou via o endpoint `praisonai mcp serve --transport http-stream`, que por padrão não exige autenticação em loopback. **Recomendações** Atualize para a versão 4.6.34. Como medida paliativa temporária, restrinja o acesso à interface de loopback ou garanta que a flag `--api-key` seja utilizada ao executar o servidor MCP com transporte http-stream para evitar acesso não autenticado.

**Nome do Software Vulnerável e Versões Afetadas** SiYuan versões anteriores a 3.7.0 **Descrição** Existe um problema no manipulador de mouseover de tooltips onde o software lê o atributo `aria-label` e o processa usando `decodeURIComponent` antes de atribuir o resultado ao `messageElement.innerHTML`. O codificador `escapeAriaLabel()` lida apenas com caracteres especiais de HTML padrão e ignora escapes de URL `%XX`. Consequentemente, um título de documento contendo caracteres codificados em URL (ex: `%3Cimg src=x onerror=...%3E`) ignora o codificador e é convertido em tags HTML literais pelo `decodeURIComponent` durante o processo de renderização. Quando atribuído ao `innerHTML`, o interpretador HTML executa o script injetado. Como o renderizador está configurado com `nodeIntegration: true`, `contextIsolation: false` e `webSecurity: false`, o manipulador injetado pode acessar `require('child process')`, levando à execução de código arbitrário no desktop da vítima. Isso pode ser acionado ao passar o mouse sobre resultados de pesquisa, tooltips da árvore de arquivos ou nomes e descrições de colunas AV. **Recomendações** Atualize para a versão 3.7.0. Como medida paliativa temporária, restrinja o uso da propriedade `innerHTML` em `app/src/dialog/tooltip.ts`, substituindo-a por `textContent` para evitar a interpretação de HTML nas mensagens de tooltip. Evite o uso de `decodeURIComponent` em caminhos genéricos de `aria-label` em `app/src/block/popover.ts`.

Name of the Vulnerable Software and Affected Versions ChurchCRM versões anteriores a 7.1.0 Description ChurchCRM é um sistema de gerenciamento de igrejas de código aberto. Uma vulnerabilidade de scripting entre sites armazenado existe no arquivo `PersonView.php` devido ao uso incorreto de `sanitizeText()` como um sanitizador de saída para um contexto de atributo HTML. A função apenas remove tags HTML e não escapa caracteres de aspas, permitindo que um invasor escape do atributo `href` e injete manipuladores de eventos JavaScript arbitrários. Qualquer usuário autenticado com a função EditRecords pode armazenar o payload no campo Facebook de uma pessoa. O XSS é acionado contra qualquer usuário que visualize a página de perfil dessa pessoa, incluindo administradores, potencialmente permitindo o sequestro de sessão e a tomada de conta total. Recommendations Atualize para a versão 7.1.0 ou posterior.

Name of the Vulnerable Software and Affected Versions ChurchCRM versões anteriores a 7.1.0 Description ChurchCRM, um sistema de gerenciamento de igrejas de código aberto, contém uma falha de injeção de SQL no arquivo `PropertyTypeEditor.php`, que faz parte da funcionalidade de administração para gerenciar categorias de tipo de propriedade (Pessoas → Propriedades da Pessoa / Propriedades da Família). A falha surge da substituição da função `legacyFilterInput()`, que remove HTML e escapa SQL, por `sanitizeText()`, que remove apenas HTML. Isso permite que usuários autenticados com a função MenuOptions executem injeção cega baseada em tempo e potencialmente acessem todos os dados dentro do banco de dados, incluindo hashes de senha. Recommendations Atualize para a versão 7.1.0 ou posterior.