Keensecuritylab

OpenClaw before 2026.4.25 contains a control scope enforcement bypass vulnerability in the focus command that allows authenticated callers to execute the command without proper authorization checks. Attackers can trigger the focus command to change focus state outside intended caller authority, potentially enabling unauthorized operations depending on gateway configuration and input trust levels.

OpenClaw before 2026.5.6 contains an allowlist bypass vulnerability in the macOS Swift exec feature that misses combined POSIX inline-command flags. Attackers can execute shell content outside the intended allowlist check by using combined flag forms, potentially allowing unauthorized command execution depending on operator configuration.

OpenClaw before 2026.5.6 contains a privilege escalation vulnerability in the Active Memory write scope that allows Gateway operators with operator.write access to modify global configuration without requiring operator.admin privileges. Attackers with operator.write access can exploit insufficient scope validation to apply unauthorized configuration changes beyond the intended write scope.

OpenClaw before 2026.4.25 contains an input validation vulnerability in tool group policy callers that accept unvalidated group IDs. Attackers who can supply a group ID to the policy resolver could trigger incorrect group-policy decisions for tool invocations, potentially bypassing intended access controls.

OpenClaw before 2026.5.6 contains a hook bypass vulnerability where skill commands routed through the affected dispatch path skip before-tool-call hook coverage. Attackers can exploit this by sending skill commands through the vulnerable dispatch path to bypass hook-based auditing and policy enforcement mechanisms.

OpenClaw before 2026.4.25 contains a privilege escalation vulnerability in internal and webchat command authentication that allows senders to inherit wildcard ownerAllowFrom state across channel boundaries. Attackers can exploit this by sending commands on affected internal or webchat paths to execute owner-style command behavior outside intended channel scope, potentially bypassing access controls.

OpenClaw before 2026.4.25 contains a scope containment bypass vulnerability in device re-pairing that allows authenticated operators to restore broader scopes than intended by submitting empty-scope re-pairing requests. Attackers can exploit this by sending re-pairing requests with empty scope sets to skip containment guards and retain unauthorized device access.

OpenClaw before 2026.4.29 contains a session visibility check bypass vulnerability in shared memory search that allows authenticated callers to access memory entries without proper authorization. Attackers can skip session visibility guards on the search path to retrieve memory entries that should not be visible to their session.

**Nome do Software Vulnerável e Versões Afetadas** OpenClaw versões anteriores a 2026.5.6 **Descrição** Existe uma falha de bypass de imposição de configuração nos vínculos de agentes dinâmicos do Feishu. Este problema permite que remetentes autenticados criem ou atualizem vínculos sem respeitar os controles de gravação de configuração (`config-write`) configurados. Ao utilizar o recurso de vínculo de agente dinâmico, um invasor pode alterar o estado do vínculo remetente-agente além da política pretendida, o que pode levar a modificações de vínculo não autorizadas. **Recomendações** Atualize para a versão 2026.5.6.

**Nome do Software Vulnerável e Versões Afetadas** OpenClaw versões anteriores a 2026.4.27 **Description** Existe uma falha de bypass de autorização nos comandos de barra (slash commands) de pré-despacho do QQBot. Este problema permite que remetentes autenticados ignorem as verificações de política `allowFrom`, permitindo a invocação de comandos de barra antes que as políticas de controle de acesso configuradas sejam aplicadas. Dependendo da configuração do operador, isso pode acionar o processamento de comandos de remetentes que deveriam estar bloqueados. **Recommendations** Atualize para a versão 2026.4.27.

**Nome do Software Vulnerável e Versões Afetadas** OpenClaw versões anteriores a 2026.5.6 **Description** Existe uma falha de bypass de autorização no processamento de comandos nativos. Isso permite que remetentes autenticados executem comandos exclusivos do proprietário, ignorando os controles de acesso configurados, possibilitando a execução de comandos privilegiados por usuários não autorizados. **Recommendations** Atualizar para a versão 2026.5.6.

**Nome do Software Vulnerável e Versões Afetadas** OpenClaw versões anteriores a 2026.5.6 **Descrição** Um controle de acesso inadequado nos manipuladores de eventos do Mattermost ocorre devido a uma falha na validação dos metadados do tipo de canal. Isso permite que atacantes ignorem as decisões de política de Mensagem Direta (DM) pretendidas, enviando eventos do Mattermost manipulados que carecem de informações sobre o tipo de canal para processar conteúdo restrito. **Recomendações** Atualizar para a versão 2026.5.6.

**Nome do Software Vulnerável e Versões Afetadas** OpenClaw versões anteriores a 2026.4.25 **Description** Existe um bypass de política na política do executor incorporado (embedded runner policy). Este problema permite que solicitações que utilizam aliases de provedor sejam comparadas com aliases em vez de identidades canônicas de provedor. Quando o recurso afetado está habilitado, essa confusão pode ser explorada para obter acesso a ferramentas integradas que excedem as restrições de política de provedor pretendidas. **Recommendations** Atualize para a versão 2026.4.25.

**Nome do Software Vulnerável e Versões Afetadas** OpenClaw versões anteriores a 2026.4.24 **Description** Existe uma falha de bypass de autorização no recurso de loopback do MCP. Isso permite que chamadores que não sejam proprietários ignorem as políticas de ferramentas exclusivas do proprietário e os hooks de pré-chamada de ferramentas. Quando o recurso está habilitado e acessível, atacantes podem usar o caminho de loopback afetado para invocar comportamentos exclusivos do proprietário e executar ferramentas restritas. **Recommendations** Atualize para a versão 2026.4.24. Como medida paliativa temporária, desabilite o recurso de loopback do MCP para evitar a execução não autorizada de ferramentas restritas.

**Nome do Software Vulnerável e Versões Afetadas** OpenClaw versões anteriores a 2026.5.6 **Descrição** Existe uma falha de bypass na política de aprovação no fluxo de aplicação do Skill Workshop. Este problema permite que chamadas de ferramentas de agentes definam a variável `apply` como `true`, mesmo quando a `approvalPolicy` está configurada como `pending`. Um invasor pode acessar o caminho de aplicação afetado para implementar alterações no workshop antes da etapa de aprovação necessária, o que pode levar a modificações de configuração não autorizadas. **Recomendações** Atualize para a versão 2026.5.6.

**Nome do Software Vulnerável e Versões Afetadas** OpenClaw versões anteriores a 2026.5.6 **Descrição** Existe uma falha de bypass de autorização em callbacks interativos do Telegram. Usuários autenticados podem ignorar a validação `commands.allowFrom` ao invocar callbacks afetados para se marcarem como remetentes autorizados antes que as verificações de allowlist sejam aplicadas. Isso permite a execução de comportamentos de comando que ignoram as restrições de remetente do Telegram configuradas. **Recomendações** Atualize para a versão 2026.5.6.

**Nome do Software Vulnerável e Versões Afetadas** OpenClaw versões anteriores a 2026.4.20 **Descrição** Existe um bypass de guarda nos endpoints do gateway voltados para o agente "config.patch" e "config.apply". Este problema falha em proteger configurações confiáveis do operador, incluindo a política de sandbox, habilitação de plugins, auth/TLS do gateway, roteamento de hooks, configuração do servidor MCP, política de SSRF e endurecimento do sistema de arquivos. Um modelo com injeção de prompt e acesso à ferramenta de gateway exclusiva do proprietário pode persistir alterações não autorizadas nessas configurações protegidas do operador. **Recomendações** Atualize para a versão 2026.4.20 ou posterior.

**Nome do Software Vulnerável e Versões Afetadas** OpenClaw versões anteriores a 2026.4.23 **Descrição** Um controle de acesso inadequado nas operações 'config.apply' e 'config.patch' da ferramenta de gateway permite que modelos comprometidos ignorem uma proteção de denylist incompleta. Isso possibilita a gravação de alterações de configuração inseguras que persistem após a reinicialização, afetando potencialmente a execução de comandos, o comportamento da rede, credenciais e políticas do operador. **Recomendações** Atualize para a versão 2026.4.23.

**Nome do Software Vulnerável e Versões Afetadas** OpenClaw versões anteriores a 2026.4.20 **Descrição** Uma falha de bypass de política de ferramentas permite que ferramentas MCP (Model Context Protocol) e LSP (Language Server Protocol) integradas ignorem restrições de ferramentas configuradas. Atacantes com acesso local ao agente podem anexar ferramentas restritas ao conjunto de ferramentas efetivo após a filtragem de políticas, ignorando políticas de perfil, listas de permissão/bloqueio, restrições exclusivas do proprietário, políticas de sandbox e políticas de subagente. **Recomendações** Atualize para a versão 2026.4.20.

**Nome do Software Vulnerável e Versões Afetadas** OpenClaw versões anteriores a 2026.4.15 **Descrição** Um problema de leitura arbitrária de arquivo local existe no auxiliar de incorporação de áudio do webchat devido a uma falha na aplicação de verificações de contenção de raiz de mídia local. Atacantes podem manipular o parâmetro `ReplyPayload.mediaUrl` produzido por agentes ou ferramentas para resolver caminhos locais absolutos ou URLs de arquivos. Isso permite a leitura de arquivos do tipo áudio, que são então incorporados como dados codificados em base64 nas respostas do webchat. **Recomendações** Atualize para a versão 2026.4.15.