CVE-2026-26325

Nome do Software Vulnerável e Versões Afetadas OpenClaw, versões 2026.2.13 e anteriores

Descrição Existe um bypass de lista de permissões no pacote npm OpenClaw. Essa falha causa uma discrepância entre os comandos que são verificados e os comandos que são efetivamente executados, podendo levar à execução de comandos indesejados e ao comprometimento da segurança. O problema decorre de um desacoplamento lógico em que o código parece correto, mas funciona incorretamente. A análise estática pode não detectar esse tipo de vulnerabilidade, já que se concentra na sintaxe em vez da intenção. A função system(.)run é especificamente mencionada como um possível ponto de entrada para exploração.

Recomendações Versões anteriores à versão 2026.2.14 devem ser atualizadas para a versão 2026.2.14 ou posterior. Deixe de confiar em expressões regulares para validação de comandos. Evite verificações de segurança que analisam a Variável A enquanto o motor de execução executa a Variável B, pois isso cria uma lacuna lógica.