CVE-2026-43529

Nome do Software Vulnerável e Versões Afetadas OpenClaw versões anteriores a 2026.4.10

Descrição Um problema de time-of-check-time-of-use (TOCTOU) existe na função validateScriptFileForShellBleed(). Um problema TOCTOU é um bug de software onde um sistema verifica uma condição (como uma credencial de segurança) e então usa o resultado dessa verificação para realizar uma ação, mas a condição muda entre a verificação e o uso. Isso permite que atacantes locais com acesso de escrita ao workspace ignorem as verificações de limite do workspace usando uma condição de corrida (race condition) para trocar o arquivo alvo entre as fases de validação e leitura de pré-execução. Isso faz com que o validador inspecione uma identidade de arquivo diferente daquela que passou inicialmente na verificação de limite.

Recomendações Atualize para a versão 2026.4.10 ou superior.