Smaeljaish771

**Nome do Software Vulnerável e Versões Afetadas** OpenClaw versões 2026.2.21 a 2026.4.9 **Descrição** Existe uma falha de bypass de autenticação na rota do auxiliar noVNC do sandbox, que expõe credenciais de sessão de navegador interativo. Isso permite que atacantes acessem a rota do auxiliar noVNC sem a autenticação da ponte para obter acesso não autorizado à sessão do navegador interativo. **Recomendações** Atualizar para a versão 2026.4.10.

**Nome do Software Vulnerável e Versões Afetadas** OpenClaw versões anteriores a 2026.3.22 **Descrição** Existe uma falha de bypass de controle de acesso no recurso `allowProfiles`. Esta falha permite que atacantes remotos contornem restrições de perfil utilizando mutação persistente de perfil e seleção de perfil em tempo de execução. A exploração ocorre através da manipulação de perfis de proxy do navegador em tempo de execução para acessar perfis restritos e burlar os controles de acesso pretendidos. **Recomendações** Atualize para a versão 2026.3.22.

**Nome do Software Vulnerável e Versões Afetadas** OpenClaw versões anteriores a 2026.3.31 **Descrição** Existe um problema de limite de autenticação onde a migração do allowFrom legado do Telegram propaga incorretamente a confiança da conta padrão para todas as contas nomeadas. Essa propagação de confiança permite que invasores ignorem os controles de autenticação e obtenham acesso não autorizado a contas nomeadas. **Recomendações** Atualize para a versão 2026.3.31.

**Nome do Software Vulnerável e Versões Afetadas** OpenClaw versões anteriores a 2026.4.8 **Descrição** Um problema no processamento de redirecionamento do Playwright permite que atacantes ignorem verificações rigorosas de Server-Side Request Forgery (SSRF). Ao explorar a navegação no momento da requisição, atacantes podem acessar alvos privados que deveriam ser restringidos pelas proteções de SSRF do navegador. SSRF é uma falha onde um atacante pode forçar um aplicativo do lado do servidor a fazer requisições HTTP para um domínio arbitrário escolhido pelo atacante. **Recomendações** Atualize para a versão 2026.4.8.

**Nome do Software Vulnerável e Versões Afetadas** OpenClaw versões anteriores a 2026.4.8 **Descrição** Um problema de escalonamento de privilégios existe no mecanismo de autenticação HTTP do plugin de gateway. Esta falha permite que solicitações `operator.read` com identidade sejam ampliadas para permissões de runtime `operator.write`. Um invasor pode explorar isso enviando solicitações de escopo de leitura através da rota de autenticação do gateway para obter acesso de gravação não autorizado a operações de runtime. **Recomendações** Atualize para a versão 2026.4.8 ou posterior.

**Nome do Software Vulnerável e Versões Afetadas** OpenClaw versões anteriores a 2026.4.2 **Descrição** O software falha ao normalizar hosts localhost com ponto final em respostas de descoberta remota de CDP (Chrome DevTools Protocol). Isso permite a evasão de proteções de loopback, possibilitando que atacantes criem respostas de descoberta maliciosas retornando `localhost.` para redirecionar o controle autenticado do navegador para endpoints do localhost e expor o estado do navegador. **Recomendações** Atualize para a versão 2026.4.2.

**Name of the Vulnerable Software and Affected Versions** OpenClaw versões 2026.3.22 a 2026.3.30 **Description** Existe uma falha de bypass de verificação de assinatura no caminho de entrada de DM do Nostr, permitindo que desafios de emparelhamento sejam emitidos antes da validação da assinatura do evento. Um invasor remoto não autenticado pode enviar mensagens diretas forjadas para criar entradas de emparelhamento pendentes e disparar tentativas de resposta de emparelhamento. Isso pode levar ao consumo da capacidade de emparelhamento compartilhada e disparar trabalho de relay e log limitado no canal Nostr. Este problema não concede descriptografia de mensagens, aprovação de emparelhamento ou bypass de autorização mais amplo. **Recommendations** Atualize para a versão 2026.3.31 ou posterior.

**Nome do Software Vulnerável e Versões Afetadas** OpenClaw versões 2026.2.26 até 2026.3.30 **Descrição** O software aplica limites de solicitações de emparelhamento pendentes por arquivo de canal em vez de por conta. Isso permite que invasores remotos enviem solicitações de emparelhamento de várias contas para esgotar a janela de pendências compartilhada, bloqueando novos desafios de emparelhamento em outras contas e resultando em negação de serviço. **Recomendações** Atualize para a versão 2026.3.31.

**Nome do Software Vulnerável e Versões Afetadas** OpenClaw versões anteriores a 2026.3.31 **Descrição** Existe um problema de gerenciamento de configuração onde a migração de inicialização trata configurações de matrizes vazias como valores ausentes. Isso permite que invasores reiniciem o aplicativo para reidratar a configuração Tlon revogada a partir do estado do arquivo, ignorando os controles de revogação pretendidos. **Recomendações** Atualize para a versão 2026.3.31.

**Nome do Software Vulnerável e Versões Afetadas** OpenClaw versões anteriores a 2026.3.31 **Descrição** Quando `allowRemoteViewer` está desativado, o visualizador de diffs classifica incorretamente requisições remotas via proxy como conexões de loopback. Isso permite que atacantes ignorem controles de acesso ao enviar requisições via proxy que são identificadas erroneamente como tráfego de loopback local, concedendo acesso não autorizado ao contornar as restrições do visualizador remoto. **Recomendações** Atualize para a versão 2026.3.31.

**Nome do Software Vulnerável e Versões Afetadas** OpenClaw versões anteriores a 2026.3.31 **Descrição** Existe um bypass de escopo no processo de deduplicação do cache de replay de webhook. Atacantes autenticados podem explorar a indexação de cache excessivamente ampla para repetir mensagens entre alvos irmãos usando o mesmo `messageId`, permitindo que mensagens de webhook duplicadas sejam entregues a alvos não pretendidos. **Recomendações** Atualizar para a versão 2026.3.31.

Name of the Vulnerable Software and Affected Versions OpenClaw versões anteriores a 2026.3.23 Description OpenClaw contém um problema de identidade de repetição na verificação de assinatura Plivo V2. Isso permite que invasores ignorem a proteção contra repetição modificando parâmetros de consulta. O processo de verificação gera chaves de repetição a partir da URL completa, incluindo strings de consulta, em vez de uma URL base padronizada. Isso permite que invasores criem novas chaves de solicitação verificadas fazendo alterações não assinadas nos parâmetros de consulta em solicitações assinadas. Recommendations Atualize para a versão 2026.3.23 ou posterior.

**Nome do Software Vulnerável e Versões Afetadas** OpenClaw versões anteriores a 2026.3.23 **Descrição** OpenClaw contém uma falha de controle de acesso insuficiente no agente Gateway. O endpoint `/reset` permite que chamadores com permissão `operator.write` redefinam sessões de administrador. Atacantes com privilégios `operator.write` podem invocar mensagens `/reset` ou `/new` com uma `sessionKey` explícita para ignorar os requisitos de `operator.admin` e redefinir sessões arbitrárias. O código vulnerável reside em `src/gateway/server-methods/agent.ts` dentro da função `performGatewaySessionReset()`. **Recomendações** Atualize para a versão 2026.3.23 ou posterior.

Name of the Vulnerable Software and Affected Versions OpenClaw versões anteriores a 2026.3.23 Description OpenClaw contém uma falha de bypass de autenticação no gateway Canvas. A função `authorizeCanvasRequest()` permite incondicionalmente solicitações locais-diretas sem validar tokens de portador ou capacidades de canvas. Isso permite que invasores enviem solicitações HTTP e WebSocket não autenticadas para rotas Canvas, ignorando a autenticação e obtendo acesso não autorizado. Recommendations Atualize para a versão 2026.3.23 ou posterior.