CVE-2026-28391

Nome do Software Vulnerável e Versões Afetadas Versões do OpenClaw anteriores a 2026.2.2

Descrição O software não valida corretamente os metacaracteres do Windows cmd.exe em solicitações de execução com base na lista de permissões, o que pode permitir que atacantes burlem as restrições de aprovação de comandos. Atacantes podem criar strings de comandos com metacaracteres do shell, como & ou %...%, para executar comandos não aprovados além das operações na lista de permissões. O software utiliza cmd.exe /d /s /c <rawCommand> para executar solicitações em nós Windows. A análise da lista de permissões não modela a análise sintática e o comportamento dos metacaracteres do cmd.exe do Windows. O código vulnerável está localizado em src/infra/node-shell.ts. A correção reforça a aplicação da lista de permissões no Windows ao incluir a plataforma na análise da lista de permissões, rejeitando metacaracteres do shell do Windows, considerando a invocação do cmd.exe como não segura para a lista de permissões no Windows e evitando o uso do cmd.exe completamente no modo de lista de permissões, executando diretamente o argv analisado quando possível.

Recomendações Atualize para a versão 2026.2.2 ou posterior.