PT-2026-20906 · Openclaw · Openclaw
Adam55A-Code
·
Publicado
2026-02-18
·
Atualizado
2026-02-20
·
CVE-2026-27008
CVSS v4.0
6.8
Média
| Vetor | AV:L/AC:L/AT:N/PR:H/UI:N/VC:L/VI:H/VA:N/SC:N/SI:N/SA:N |
Nome do Software Vulnerável e Versões Afetadas
Versões do OpenClaw anteriores à 2026.2.15
Descrição
Existe uma falha no processo de instalação da skill
download do OpenClaw, especificamente em versões anteriores à 2026.2.15. A validação insuficiente dos valores de targetDir dentro do frontmatter da skill permitiu a potencial escrita de arquivos fora do sandbox de instalação pretendido durante o fluxo skills.install, exclusivo para administradores. Isso poderia ocorrer quando o valor de targetDir não era estritamente validado.Recomendações
Atualize para o OpenClaw versão 2026.2.15 ou posterior.
Exploit
Correção
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Openclaw