Vincentkoc

**Nome do Software Vulnerável e Versões Afetadas** OpenClaw, versões anteriores a 2026.2.14 clawdbot, versões anteriores a 2026.1.24-3 **Descrição** Rotas de mutação voltadas para o navegador no localhost aceitavam solicitações de navegador de origem cruzada sem validação explícita de Origin/Referer. A vinculação de loopback reduz a exposição remota, mas não impede solicitações iniciadas pelo navegador de origens maliciosas. Um site malicioso pode acionar alterações de estado não autorizadas contra o plano de controle do navegador OpenClaw local da vítima, como abrir abas, iniciar ou parar o navegador, ou modificar armazenamento e cookies, caso o serviço de controle do navegador seja acessível via loopback dentro do contexto do navegador da vítima. O problema decorre de pontos de extremidade HTTP de mutação expostos que não possuem uma proteção do tipo CSRF, permitindo que os navegadores enviem solicitações de origem cruzada para endereços de loopback sem validação adequada. **Recomendações** Versões anteriores a 2026.2.14: Atualize para a versão 2026.2.14 ou posterior. Versões anteriores a 2026.1.24-3: Atualize para a versão 2026.1.24-3 ou posterior. Habilite a autenticação de controle do navegador (token/senha) e evite executar sem autenticação.

**Nome do Software Vulnerável e Versões Afetadas** OpenClaw versões anteriores a 2026.2.14 clawdbot versões anteriores a 2026.1.24-3 **Descrição** Quando o iMessage está configurado com `groupPolicy=allowlist`, a autorização de grupo poderia ser satisfeita por identidades dos remetentes do repositório de pareamento DM, estendendo a confiança do DM para contextos de grupo. A lógica vulnerável em `src/imessage/monitor/monitor-provider.ts` derivou `effectiveGroupAllowFrom` usando tanto a lista de permissões estática do grupo quanto as identidades do repositório de pareamento DM (`storeAllowFrom`). Isso permitiu que um remetente aprovado por meio do pareamento DM satisfizesse a autorização de grupo em grupos, mesmo que não estivesse explicitamente listado em `groupAllowFrom`, enfraquecendo a separação entre o pareamento DM e a autorização da lista de permissões do grupo. **Recomendações** Atualize o OpenClaw para a versão 2026.2.14 ou posterior. Atualize o clawdbot para a versão 2026.1.24-3 ou posterior.