Megamansec

**Nome do Software Vulnerável e Versões Afetadas** Vim versões anteriores a 9.2.0383 **Description** Um problema de injeção de comando de SO existe no plugin padrão netrw. Um invasor pode executar comandos de shell arbitrários com os privilégios do processo Vim ao induzir um usuário a abrir uma URL manipulada, especificamente utilizando os manipuladores de protocolo 'sftp://' ou 'file://'. **Recommendations** Atualizar para a versão 9.2.0383.

**Name of the Vulnerable Software and Affected Versions** OpenClaw versions 2026.1.8 through 2026.2.13 **Description** The software contains a command injection issue in the `scripts/update-clawtributors.ts` script. This affects contributors or maintainers, and CI systems, who execute `bun scripts/update-clawtributors.ts` on a source checkout containing a malicious commit author email. The script extracts a GitHub login from `git log` author metadata and uses it in a shell command via `execSync`. A crafted commit record can inject shell metacharacters, leading to arbitrary command execution. Normal CLI usage, such as `npm i -g openclaw`, is not affected as the script is not part of the shipped CLI and is not executed during routine operation. **Recommendations** Versions 2026.1.8 through 2026.2.13 should be updated to version 2026.2.14 or later. As a temporary workaround, avoid running the `bun scripts/update-clawtributors.ts` script on source checkouts with untrusted commit history.

**Nome do Software Vulnerável e Versões Afetadas** Versões do OpenClaw 2026.1.14-1 até 2026.2.1 **Descrição** O software contém uma falha na qual a correspondência da lista de permissões de mensagens diretas (MD) pode ser contornada ao corresponder exatamente nomes de exibição do remetente e partes locais sem verificação do homeserver. Isso permite que usuários remotos do Matrix se passem por identidades permitidas utilizando nomes de exibição controlados pelo atacante ou correspondendo partes locais de diferentes homeservers, potencialmente alcançando o pipeline de roteamento e agente. O problema surge porque as decisões da lista de permissões de MD são feitas mediante correspondência exata de entradas contra candidatos derivados do remetente, incluindo o nome de exibição do remetente e a parte local do MXID do remetente sem o componente do homeserver. Se um operador configurar as listas de permissões do Matrix com nomes de exibição ou partes locais isoladas, um usuário remoto do Matrix poderá ser capaz de se passar por uma identidade permitida. **Recomendações** Atualize para a versão 2026.2.2 ou posterior do OpenClaw. Certifique-se de que as listas de permissões do Matrix contenham apenas IDs de usuário Matrix (MXIDs) completos, como `@user:server`. Não use nomes de exibição ou partes locais isoladas.

**Nome do Software Vulnerável e Versões Afetadas** Versões do OpenClaw anteriores a 2026.2.2 **Descrição** Um bypass de autenticação existe na extensão opcional `voice-call` quando a validação da política de lista de permissões de entrada é utilizada. O sistema aceita IDs de chamadas vazios e utiliza correspondência baseada em sufixo em vez de igualdade estrita. Isso permite que atacantes remotos contornem os controles de acesso de entrada ao realizarem chamadas com IDs de chamadas ausentes ou números que terminem com dígitos na lista de permissões, potencialmente alcançando o agente `voice-call` e executando ferramentas. O problema afeta implantações que possuem a extensão `voice-call` instalada e ativada. A vulnerabilidade está relacionada à verificação de lista de permissões de entrada no arquivo `extensions/voice-call/src/manager.ts`, que utilizava correspondência baseada em sufixo e aceitava IDs de chamadas vazios após a normalização. Especificamente, valores `from` ausentes ou vazios eram normalizados para uma string vazia, fazendo com que o predicado da lista de permissões avaliasse como permitido. Além disso, a correspondência baseada em sufixo significava que qualquer número de chamada cujos dígitos terminassem com um número na lista de permissões seria aceito. O componente vulnerável é a extensão `voice-call`. **Recomendações** Versões do OpenClaw anteriores a 2026.2.2 devem ser atualizadas para a versão 2026.2.2 ou posterior.

**Nome do Software Vulnerável e Versões Afetadas** Versões do OpenClaw de 2026.1.29 a 2026.2.0 **Descrição** O software OpenClaw, com o plugin do Twitch instalado e ativado, apresenta um problema em que o controle de acesso é ignorado. Especificamente, a lista de permissão `allowFrom` não é aplicada corretamente quando `allowedRoles` não está configurado ou está vazio. Isso permite que usuários não autorizados do Twitch acionem o despacho do agente mencionando o bot no chat do Twitch. A lógica problemática está localizada na função `checkTwitchAccessControl()` do plugin do Twitch (`extensions/twitch/src/access-control.ts`). Quando `allowFrom` está configurado, o código não retorna `allowed: false` para não membros, fazendo com que a execução continue. Se `allowedRoles` não estiver configurado ou estiver vazio, a função define como padrão `allowed: true`, mesmo quando `allowFrom` está configurado. Isso pode levar a ações e respostas não intencionais, além de possível esgotamento de recursos para os operadores que dependiam de `allowFrom` para restringir a invocação do bot no chat do Twitch. **Recomendações** As versões do OpenClaw de 2026.1.29 a 2026.2.0 devem ser atualizadas para a versão 2026.2.1 ou posterior.

**Nome do Software Vulnerável e Versões Afetadas** Versões do OpenClaw anteriores a 2026.2.13 Versões do @openclaw/bluebubbles anteriores a 2026.2.13 **Descrição** O plugin opcional de canal iMessage do BlueBubbles poderia aceitar solicitações de webhook como autenticadas baseando-se exclusivamente no endereço TCP do peer ser loopback (`127.0.0.1`, `::1`, `::ffff:127.0.0.1`), mesmo quando o segredo do webhook configurado estivesse ausente ou incorreto. Isso não afeta a integração iMessage padrão, a menos que o BlueBubbles esteja instalado e habilitado. Se uma implantação expuser o endpoint de webhook do BlueBubbles através de um reverse proxy no mesmo host, ou se um atacante puder alcançar o loopback via Server-Side Request Forgery (SSRF), uma parte não autenticada poderá injetar eventos de webhook de entrada no pipeline do agente. **Recomendações** Versões anteriores a 2026.2.13 devem ser atualizadas para a versão 2026.2.13 ou posterior. Defina uma senha de webhook do BlueBubbles não vazia. Evite implantações nas quais um reverse proxy exposto publicamente encaminha para um Gateway vinculado ao loopback sem autenticação upstream robusta.

**Name of the Vulnerable Software and Affected Versions** WeKan versions prior to 8.21 **Description** A security issue exists in WeKan related to missing authorization within the Rules Handler component. The problem resides in an unknown function of the file `server/publications/rules.js`. This can be exploited remotely. **Recommendations** Upgrade to version 8.21 to resolve the issue.

**Name of the Vulnerable Software and Affected Versions** Wekan versions prior to 8.19 **Description** A flaw exists in Wekan that allows for improper authorization. This issue is related to the `setCreateTranslation` function within the `client/components/settings/translationBody.js` file of the Custom Translation Handler component. The attack can be initiated remotely. **Recommendations** Upgrade to version 8.19 or later. Upgrade the affected component.

**Name of the Vulnerable Software and Affected Versions** Wekan versions up to 8.20 **Description** A flaw exists in Wekan that could allow information disclosure. This issue impacts an unspecified part of the `server/publications/cards.js` file within the Meteor Publication Handler component. The attack can be initiated remotely. **Recommendations** Upgrade to version 8.21 to resolve this issue.

**Name of the Vulnerable Software and Affected Versions** WeKan versions prior to 8.21 **Description** A security flaw exists in WeKan up to version 8.20. The issue affects unknown code within the `server/methods/fixDuplicateLists.js` file of the Administrative Repair Handler component, leading to improper access controls. This allows for remote exploitation. **Recommendations** Upgrade to version 8.21 to resolve the issue.

**Name of the Vulnerable Software and Affected Versions** WeKan versions prior to 8.21 **Description** A weakness exists in WeKan related to the Activity Publication Handler component, specifically in the processing of the file `server/publications/activities.js`. A manipulation of this component can lead to information disclosure and can be launched remotely. **Recommendations** Upgrade to version 8.21 to address the issue.

**Name of the Vulnerable Software and Affected Versions** Wekan versions up to 8.20 **Description** A flaw exists in Wekan’s LDAP User Sync component, specifically within the `packages/wekan-ldap/server/syncUser.js` file. This issue results in improper access controls and allows for remote exploitation. The vulnerable component is the LDAP User Sync. **Recommendations** Upgrade to version 8.21 to resolve the issue.

**Name of the Vulnerable Software and Affected Versions** WeKan versions up to 8.20 **Description** A flaw exists in WeKan that relates to improper access controls within the Attachment Storage component. The issue is located in the file `models/attachments.js` and impacts an unknown function. This manipulation can be initiated remotely. Upgrading to version 8.21 resolves this issue. The patch is identified as `c413a7e860bc4d93fe2adcf82516228570bf382d`. **Recommendations** Upgrade to WeKan version 8.21. Upgrade the affected component.

**Name of the Vulnerable Software and Affected Versions** WeKan versions prior to 8.21 **Description** A flaw exists in WeKan up to version 8.20 related to improper access controls within the REST Endpoint component. The issue resides in an unknown function of the `models/boards.js` file. Remote exploitation is possible. **Recommendations** Upgrade to version 8.21 to resolve the issue.

**Name of the Vulnerable Software and Affected Versions** WeKan versions prior to 8.21 **Description** A flaw exists in WeKan related to missing authorization within the Position-History Tracking component, specifically in the file server/methods/positionHistory.js. This issue allows for remote manipulation, potentially leading to unauthorized access. **Recommendations** Upgrade to version 8.21 or later to resolve this issue.

**Name of the Vulnerable Software and Affected Versions** WeKan versions up to 8.20 **Description** A flaw exists in WeKan that relates to improper access controls. The issue is located in an unknown function within the `server/attachmentMigration.js` file of the Attachment Migration component. This issue can be exploited remotely. **Recommendations** Upgrade to version 8.21 to resolve this issue.

**Name of the Vulnerable Software and Affected Versions** WeKan versions up to 8.20 **Description** A flaw exists in WeKan, specifically within the Attachment Storage Handler component. The issue resides in the `applyWipLimit` function located in the `models/lists.js` file. Exploitation of this flaw can lead to improper access controls, and the attack can be executed remotely. **Recommendations** Upgrade to version 8.21 or later to address this issue.

**Name of the Vulnerable Software and Affected Versions** Wekan versions up to 8.20 **Description** A security issue has been identified in Wekan related to improper authorization. This occurs due to manipulation of the `item.cardId`, `item.checklistId`, or `card.boardId` arguments within the `setBoardOrgs` function located in the `models/boards.js` file of the REST API component. The attack can be launched remotely and is considered difficult to exploit due to its high complexity. **Recommendations** Upgrade to version 8.21 to resolve this issue.

**Name of the Vulnerable Software and Affected Versions** WeKan versions prior to 8.21 **Description** A flaw exists in WeKan that allows for improper access controls. This is due to the manipulation of the `boardId` argument within the `ComprehensiveBoardMigration` function located in the file server/migrations/comprehensiveBoardMigration.js of the Migration Operation Handler component. The issue is potentially exploitable remotely. **Recommendations** Upgrade to version 8.21 or later to address this issue.

**Name of the Vulnerable Software and Affected Versions** Wekan versions up to 8.20 **Description** A security issue exists in Wekan’s REST API component, specifically within the file `models/checklistItems.js`. Manipulation of the arguments `item.cardId`, `item.checklistId`, and `card.boardId` can lead to improper authorization. Remote exploitation is possible. **Recommendations** Upgrade to version 8.21.