Edward-X

**Nome do Software Vulnerável e Versões Afetadas** OpenClaw versões anteriores a 2026.5.12 **Description** Um problema de divulgação de informações existe em servidores MCP streamable-http que encaminha cabeçalhos personalizados configurados pelo operador durante redirecionamentos de origem cruzada (cross-origin). Atacantes que controlam ou comprometem um endpoint MCP podem redirecionar solicitações para exfiltrar cabeçalhos sensíveis, como chaves de API ou credenciais de roteamento de locatário, para origens controladas pelo atacante. Isso ocorre em implantações onde um servidor MCP é configurado com `transportType: "streamable-http"` e cabeçalhos personalizados sensíveis em `mcp.servers.*.headers`. O problema é limitado a servidores MCP Streamable HTTP configurados que usam cabeçalhos personalizados e não expõe credenciais não relacionadas. **Recommendations** Atualize para a versão 2026.5.12. Como mitigação temporária, evite usar cabeçalhos MCP personalizados com servidores nos quais você não confia totalmente. Rotacione quaisquer credenciais específicas do MCP que possam ter sido expostas por um endpoint de redirecionamento.

OpenClaw before 2026.5.12 contains an allowlist bypass vulnerability in shell inline-command parsing that allows authenticated operators to execute unapproved commands. A command request using shell inline-command forms could route through a parser case missing the expected allowlist decision, enabling shell content execution without intended approval prompts.

OpenClaw before 2026.5.12 contains a bootstrap token replay vulnerability allowing callers with pending token access to reuse tokens with broader requested scopes. Attackers can replay bootstrap tokens before approval to escalate pairing authority beyond intended scope limits.

OpenClaw before 2026.5.7 contains a sender policy bypass vulnerability in BlueBubbles that allows participants to match allowlist entries through conversation metadata rather than stable sender identity. Attackers can influence conversation-level identifiers to receive agent responses intended for configured senders, potentially bypassing access controls.

OpenClaw before 2026.5.12 contains a notification bypass vulnerability allowing Slack reaction events to enter the agent pipeline despite disabled reaction notifications. Attackers can trigger unintended agent processing by sending reaction events when the feature is enabled, potentially leading to unauthorized processing of lower-trust input.

OpenClaw before 2026.5.12 contains a cross-site scripting vulnerability in exported session HTML that preserves unsafe javascript: and data: links in generated content. Attackers can execute browser-side scripts if a trusted operator opens the exported file and activates a malicious link.

**Nome do Software Vulnerável e Versões Afetadas** OpenClaw versões anteriores a 2026.5.27 **Description** Um problema de mutação de estado existe no processo de reconexão de emparelhamento de nós. Isso permite que nós emparelhados confundam as decisões de escopo de aprovação, permitindo que atacantes explorem a lógica de reconexão para restaurar ou apresentar uma autoridade de nó mais ampla do que a pretendida, o que pode levar à evasão de restrições de aprovação. **Recommendations** Atualize para a versão 2026.5.27.

**Nome do Software Vulnerável e Versões Afetadas** OpenClaw versões anteriores a 2026.5.12 **Description** Existe um bypass de allowlist no processamento de comandos codificados do PowerShell. Operadores remotos autenticados podem evadir os controles de segurança utilizando aliases de flags abreviadas que não são reconhecidos pelo parser da allowlist, permitindo a execução de conteúdo arbitrário do PowerShell. **Recommendations** Atualizar para a versão 2026.5.12.

**Nome do Software Vulnerável e Versões Afetadas** OpenClaw versões anteriores a 2026.5.12 **Description** Um problema de análise de opções de shell permite que flags de shell POSIX combinadas ignorem as verificações de revalidação de exec. Isso permite que atacantes executem conteúdo de shell inline sem a validação de allowlist pretendida, potencialmente levando à execução de comandos não autorizados quando o recurso afetado está habilitado. **Recommendations** Atualize para a versão 2026.5.12. Como mitigação temporária, desative o recurso afetado.

**Name of the Vulnerable Software and Affected Versions** OpenClaw versões anteriores a 2026.3.28 **Description** Um bypass de consentimento agêntico permite que agentes de LLM desativem silenciosamente a aprovação de execução. Atacantes remotos podem explorar isso usando o parâmetro `config.patch` para ignorar controles de segurança e executar operações não autorizadas sem o consentimento do usuário. **Recommendations** Atualize para a versão 2026.3.28 ou posterior. Evite usar o parâmetro `config.patch` até que a atualização seja aplicada.

**Nome do Software Vulnerável e Versões Afetadas** OpenClaw versões anteriores a 2026.3.24 **Descrição** Um problema de injeção de variável de ambiente existe no executor do backend CLI. Atacantes podem usar configurações de workspace maliciosas para injetar variáveis de ambiente arbitrárias na geração do processo de backend, o que pode levar à execução de código ou à exposição de dados sensíveis. **Recomendações** Atualizar para a versão 2026.3.24.

Nome do Software Vulnerável e Versões Afetadas: OpenClaw versões anteriores a 2026.3.24 Descrição: Versões do OpenClaw anteriores a 2026.3.24 contêm uma correção incompleta para CVE-2026-27486. O comando de chat `!stop` usa uma função `killProcessTree` não corrigida de `shell-utils.ts` que envia `SIGKILL` imediatamente sem um desligamento gracioso `SIGTERM`. Isso pode levar à corrupção de dados, vazamentos de recursos e operações de limpeza de segurança ignoradas. A função vulnerável está localizada em `src/agents/shell-utils.ts` (linhas 170–192) e é chamada pelo manipulador de comando `!stop` em `src/auto-reply/reply/bash-command.ts` (linhas 300-304). O problema surge porque o comando `!stop` importa a função não corrigida em vez da versão corrigida em `src/process/kill-tree.ts`. Uma prova de conceito demonstra que a função vulnerável ignora a sequência de desligamento gracioso, enviando `SIGKILL` diretamente. Isso pode afetar processos que gravam em arquivos, bancos de dados ou executam operações de segurança sensíveis. Recomendações: Atualize para a versão 2026.3.24 ou posterior do OpenClaw.

Nome do Software Vulnerável e Versões Afetadas OpenClaw versões anteriores a 2026.3.24 Descrição Versões do OpenClaw anteriores a 2026.3.24 contêm uma vulnerabilidade de travessia de caminho em seu mecanismo de aplicação de sandbox. Isso permite que agentes em sandbox leiam arquivos arbitrários dos workspaces de outros agentes, explorando chaves de parâmetros `mediaUrl` ou `fileUrl` não normalizadas. A vulnerabilidade surge da validação incompleta de parâmetros na função `normalizeSandboxMediaParams` e da omissão de `mediaLocalRoots` do contexto de despacho em `handlePluginAction`. Um invasor pode aproveitar isso para acessar arquivos confidenciais, incluindo chaves de API e dados de configuração, fora das raízes de sandbox designadas. A vulnerabilidade permite que um agente em sandbox leia arquivos de outros workspaces de agentes usando a chave de parâmetro `mediaUrl` ou `fileUrl` em chamadas de ferramentas de mensagem. A função `normalizeSandboxMediaParams` verifica apenas as chaves `media`, `path` e `filePath`, enquanto `mediaUrl` e `fileUrl` ignoram a validação. Combinado com `handlePluginAction` que remove `mediaLocalRoots` do contexto de despacho, isso permite uma fuga completa do sandbox, onde qualquer agente pode ler arquivos fora de sua raiz de sandbox designada. Recomendações Atualize para a versão 2026.3.24 ou posterior do OpenClaw.

Name of the Vulnerable Software and Affected Versions OpenClaw versões anteriores a 2026.3.22 Description OpenClaw é suscetível a um problema de alocação de memória ilimitada no tratamento de erros HTTP de mídia remota. Atacantes podem explorar isso enviando respostas de erro HTTP especialmente criadas com conteúdo grande para endpoints de mídia remota. Isso faz com que o aplicativo aloque uma quantidade excessiva de memória antes que o tratamento de erros possa ocorrer, potencialmente levando à falha do aplicativo. Recommendations Atualize para a versão 2026.3.22 ou posterior.

Name of the Vulnerable Software and Affected Versions OpenClaw versões anteriores a 2026.3.22 Description Uma falha existe no OpenClaw que permite que invasores ignorem as restrições de vinculação executável. Isso é alcançado por meio do uso indevido de wrappers de tempo dentro da funcionalidade de aprovações system.run. Especificamente, a vulnerabilidade reside na falha ao desembrulhar corretamente os wrappers `/usr/bin/time`, permitindo uma violação da lista de permissões. Os invasores podem reutilizar o estado de aprovação para comandos internos utilizando um wrapper de tempo não registrado. Recommendations Atualize para a versão 2026.3.22 ou posterior.

Name of the Vulnerable Software and Affected Versions OpenClaw versões anteriores a 2026.3.2 Description A ferramenta `image` não aplicou totalmente a restrição de limite do sistema de arquivos `tools.fs.workspaceOnly`. Isso permitiu a travessia de montagens de ponte sandbox fora do espaço de trabalho, permitindo a leitura de arquivos que outras ferramentas do sistema de arquivos rejeitariam. Recommendations Atualize para a versão 2026.3.2 ou posterior.

Name of the Vulnerable Software and Affected Versions OpenClaw versões até 2026.2.22 Description OpenClaw até a versão 2026.2.22 apresenta uma vulnerabilidade de travessia de symlink nos handlers `agents.create` e `agents.update`. Esses handlers usam `fs.appendFile` em `IDENTITY.md` sem verificações adequadas de contenção de symlink. Um invasor com acesso ao espaço de trabalho pode criar symlinks para anexar conteúdo a arquivos arbitrários. Isso pode levar à execução remota de código por meio de injeção de crontab ou acesso não autorizado por meio de manipulação de chaves SSH. Recommendations Atualize o OpenClaw para uma versão posterior a 2026.2.22.