CVE-2026-28456

Nome do Software Vulnerável e Versões Afetadas OpenClaw versões 2026.1.5 a 2026.2.13

Descrição O OpenClaw Gateway não limita adequadamente os caminhos dos módulos de hook configurados antes de passá-los para a função import(), o que potencialmente permite a execução de código. Um atacante com a capacidade de modificar a configuração do gateway pode carregar e executar módulos locais não intencionais dentro do processo Node.js. Isso requer acesso para modificar a configuração do gateway, o que é considerado um privilégio elevado. O componente vulnerável envolve a função import() e os parâmetros de configuração hooks.mappings[].transform.module e hooks.internal.handlers[].module.

Recomendações Atualize para a versão 2026.2.14 ou superior. Evite expor endpoints de configuração do gateway a redes não confiáveis. Revise a configuração quanto a valores inseguros em hooks.mappings[].transform.module e hooks.internal.handlers[].module.