CVE-2026-27485

Nome do Software Vulnerável e Versões Afetadas Versões 2026.2.17 e anteriores do OpenClaw

Descrição O OpenClaw, um assistente de IA pessoal, contém um problema no script skills/skill-creator/scripts/package skill.py. Este script anteriormente seguia links simbólicos ao criar arquivos .skill. Se um autor executar este script em um diretório de skill elaborado que contenha links simbólicos para arquivos fora da raiz da skill, o arquivo resultante pode incluir conteúdo de arquivos não intencionais. Isso pode levar à divulgação não intencional de arquivos locais da máquina de empacotamento em um artefato .skill gerado. A exploração requer a execução local do script de empacotamento em conteúdos de skill controlados pelo atacante. O componente vulnerável é o script package skill.py.

Recomendações Versões anteriores a 2026.2.18 são afetadas. Rejeitar links simbólicos durante o empacotamento da skill. Adicionar testes de regressão para casos de arquivo de link simbólico e diretório de link simbólico. Atualizar as orientações de empacotamento para documentar a restrição de links simbólicos.