Xuemian

**Nome do Software Vulnerável e Versões Afetadas** Versões do OpenClaw anteriores a 2026.2.14 **Descrição** As versões do OpenClaw anteriores a 2026.2.14 não validam corretamente os caminhos de entrada de arquivos TAR durante a extração. Um arquivo manipulado pode usar sequências de travessia de caminho, como `../../...`, para gravar arquivos fora do diretório de destino pretendido, uma condição conhecida como Zip Slip. O caminho de código afetado é a função `extractArchive()` em `src/infra/archive.ts`, que utilizava `tar.x({ cwd: destDir })` sem rejeitar caminhos de entrada de travessia e absolutos. Este problema afeta os fluxos de instalação, incluindo `openclaw plugins install` e `openclaw hooks install`. Um atacante que explorar com sucesso este problema pode gravar arquivos fora do diretório de extração com as permissões do processo OpenClaw, potencialmente levando à adulteração de configuração e execução de código. **Recomendações** Atualize para a versão 2026.2.14 ou posterior do OpenClaw. Evite instalar arquivos de plugin ou hook não confiáveis.