CVE-2026-28392

Nome do Software Vulnerável e Versões Afetadas Versões do OpenClaw anteriores a 2026.2.14

Descrição O manipulador de comandos slash do Slack autoriza incorretamente qualquer remetente de mensagem direta quando o dmPolicy está configurado como aberto. Isso permite que atacantes executem comandos slash privilegiados por meio de mensagem direta, contornando as restrições da lista de permissões e do grupo de acesso. O problema ocorre quando as Mensagens Diretas do Slack estão habilitadas com channels.slack.dm.policy: open (também conhecido como dmPolicy=open). Qualquer usuário do Slack que possa enviar uma mensagem direta ao bot poderia invocar comandos slash privilegiados.

Recomendações Atualize para a versão 2026.2.14 ou posterior.