CVE-2026-27487

Nome do Software Vulnerável e Versões Afetadas Versões do OpenClaw 2026.2.13 e anteriores

Descrição O aplicativo OpenClaw, um assistente de IA pessoal, é suscetível a um problema de injeção de comandos do sistema operacional no macOS. O processo de atualização de credenciais do Chaveiro do CLI do Claude constrói um comando de shell usando security add-generic-password -w ... para gravar um blob JSON atualizado no Chaveiro. Como tokens OAuth, que são dados controlados pelo usuário, são usados neste processo, um atacante poderia potencialmente injetar comandos arbitrários do sistema operacional. A correção envolve o uso de execFileSync("security", argv) para evitar a invocação do shell e passar a payload do Chaveiro como um argumento literal.

Recomendações As versões 2026.2.13 e anteriores devem ser atualizadas para a versão 2026.2.14 ou posterior.