CVE-2026-27009

Nome do Software Vulnerável e Versões Afetadas Versões do OpenClaw anteriores a 2026.2.15

Descrição Existe uma vulnerabilidade de Cross-Site Scripting (XSS) Armazenado na Interface de Controle do OpenClaw ao renderizar a identidade do assistente (nome/avatar) em uma tag <script> inline sem o escaping adequado. Um valor manipulado contendo </script> poderia permitir que um atacante saísse da tag script e executasse JavaScript arbitrário na origem da Interface de Controle. O problema originou-se da injeção direta de assistantName e assistantAvatar em um bloco <script> inline usando JSON.stringify(...), o que não impede que a sequência </script> termine o elemento script. Um atacante com a capacidade de definir valores de identidade do assistente poderia potencialmente roubar tokens ou sessões e realizar ações privilegiadas na interface.

Recomendações Versões anteriores a 2026.2.15 devem ser atualizadas para a versão 2026.2.15 ou posterior. Esta atualização remove a injeção de script inline, serve a configuração de bootstrap a partir de um endpoint JSON e adiciona uma Política de Segurança de Conteúdo restritiva para a Interface de Controle (script-src 'self', sem scripts inline).