Mrthankyou

**Name of the Vulnerable Software and Affected Versions** OpenClaw versions prior to 2026.2.15 **Description** The software contains an option injection flaw in the git-hooks/pre-commit hook. This allows attackers to stage files that are normally ignored by creating files that begin with dashes. The hook does not properly separate filenames when using `xargs` with `git add`, which enables attackers to inject `git` flags and add sensitive ignored files, such as `.env` files, to the git history. **Recommendations** Update to version 2026.2.15 or later.

**Nome do software vulnerável e versões afetadas** Origin Protocol (versões afetadas não especificadas) **Descrição** O site do projeto Origin Protocol está suscetível à injeção maliciosa de JavaScript por meio de uma solicitação POST para “/presale/join”. Dados controlados pelo usuário são transmitidos sem sanitização para o SendGrid e injetados em um e-mail enviado para founders@originprotocol.com. Se o programa do destinatário do e-mail for vulnerável a XSS, ele poderá receber um e-mail com XSS malicioso. Independentemente disso, o hacker pode injetar HTML malicioso que modifique o conteúdo do corpo do e-mail. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões do Dependabot-Core de 0.119.0.beta1 a 0.125.1 **Descrição** Existe uma vulnerabilidade de execução remota de código nos módulos `dependabot-common` e `dependabot-go modules` quando o nome de um branch de código-fonte contém código Bash malicioso injetável. Por exemplo, se o Dependabot estiver configurado para usar o nome do ramo de origem: “/$({curl,127.0.0.1})”, o Dependabot fará uma solicitação HTTP para a URL: 127.0.0.1 ao clonar o repositório de origem. Isso ocorre porque o Dependabot executa um comando de shell para clonar o repositório via git, e a classe `FileFetcher` do `dependabot-common` pode ser usada para clonar o repositório para outros gerenciadores de pacotes. **Recomendações** Para as versões do Dependabot-Core de 0.119.0.beta1 a 0.125.1, atualize para a versão 0.125.1 para resolver o problema. Como solução alternativa temporária, escape o nome do branch antes de passá-lo para a classe `Dependabot::Source`, por exemplo, usando `shellwords` para escapar o nome do branch.