Locus-X64

**Nome do Software Vulnerável e Versões Afetadas** Versões do OpenClaw de 2026.1.12 a 2026.2.12 **Descrição** Os auxiliares de download do navegador do OpenClaw aceitavam um caminho de saída não sanitizado. Quando invocado via rotas do gateway de controle do navegador, isso permitia travessia de caminho, possibilitando gravações fora do diretório temporário de downloads pretendido do OpenClaw. O problema não é exposto via esquema de ferramentas do agente de IA. A exploração requer acesso à CLI autenticado ou um token RPC de gateway autenticado. O código afetado está localizado em `src/browser/pw-tools-core.downloads.ts` dentro das funções `waitForDownloadViaPlaywright` e `downloadViaPlaywright`. Os endpoints da API `/wait/download` e `/download` são afetados, especificamente o parâmetro `path`. **Recomendações** Atualize para a versão 2026.2.13 ou posterior do OpenClaw.

**Nome do Software Vulnerável e Versões Afetadas** Versões do python-socketio anteriores a 5.14.0 **Descrição** O python-socketio é uma implementação em Python do cliente e servidor em tempo real Socket.IO. Uma vulnerabilidade de execução remota de código no python-socketio permite que atacantes executem código Python arbitrário através da desserialização maliciosa de pickle em implantações com múltiplos servidores, onde o atacante já obteve acesso à fila de mensagens usada para comunicações internas. O problema decorre da desserialização de mensagens usando a função `pickle.loads()` do Python. Um atacante pode enviar um payload pickle manipulado que executa código arbitrário durante a desserialização via o método ` reduce ` do Python. Esta vulnerabilidade afeta apenas implantações com uma fila de mensagens comprometida. O ataque pode permitir que o atacante execute código arbitrário no contexto e com os privilégios de um processo do servidor Socket.IO. Sistemas de servidor único que não utilizam uma fila de mensagens e sistemas com múltiplos servidores com uma fila de mensagens segura não estão vulneráveis. **Recomendações** Atualize para o python-socketio versão 5.14.0 ou superior, que remove o módulo `pickle` e utiliza codificação JSON para mensagens entre servidores.