Cyjhhh

**Nome do Software Vulnerável e Versões Afetadas** OpenClaw versões anteriores a 2026.3.31 **Descrição** Um bypass de allowlist de execução permite que atacantes herdem a confiança da allowlist por meio de invocações de wrapper de arquivo de inicialização de shell. Ao utilizar opções de shell como `--rcfile`, `--init-file` e `--startup-file`, atacantes podem carregar arquivos de inicialização de sua escolha, ignorando as restrições de correspondência da allowlist de execução. **Recomendações** Atualize para a versão 2026.3.31.

**Nome do Software Vulnerável e Versões Afetadas** OpenClaw versões anteriores a 2026.3.31 **Descrição** Existe uma falha de bypass de autorização no ingresso de voz do Discord. Este problema permite que invasores ignorem as restrições de lista de permissões (allowlist) de canais e membros, explorando a validação inadequada de nomes de canais e lacunas na validação de funções obsoletas (stale-role), resultando em acesso não autorizado a canais de voz restritos. **Recomendações** Atualize para a versão 2026.3.31.

Name of the Vulnerable Software and Affected Versions OpenClaw versões anteriores a 2026.3.22 Description OpenClaw contém uma falha JavascriptInterface WebView não validada. Atacantes podem injetar instruções arbitrárias através de páginas não confiáveis, invocando a ponte canvas para executar código malicioso dentro do contexto do aplicativo Android. Recommendations Atualize para a versão 2026.3.22 ou posterior.

**Nome do Software Vulnerável e Versões Afetadas:** Versões do pyLoad anteriores à 0.5.0b3.dev92 **Descrição:** O parâmetro `jk` no CNL Blueprint do pyLoad não possui verificação adequada. Isso permite que um parâmetro `jk` fornecido pelo usuário seja passado diretamente para `dykpy.evaljs()`, resultando em utilização total da CPU do servidor e tornando a interface web sem resposta. O código vulnerável está localizado em `cnl blueprint.py` e `misc.py`. O endpoint da API `/flash/addcrypted2` é afetado. O parâmetro `jk` é vulnerável. **Recomendações:** Atualize o pyLoad para a versão 0.5.0b3.dev92 ou posterior.

Nome do Software Vulnerável e Versões Afetadas: Versões do pyLoad anteriores a 0.5.0b3.dev91 Descrição: O pyLoad, um gerenciador de downloads gratuito e de código aberto escrito em Python puro, contém uma vulnerabilidade de Injeção de SQL no parâmetro `add links` do endpoint da API `/json/add package`. Isso permite que atacantes modifiquem ou excluam dados no banco de dados, potencialmente levando a erros ou perda de dados. Recomendações: Atualize para a versão 0.5.0b3.dev91 ou posterior.