PT-2026-23536 · Openclaw · Openclaw
Tuba Deligoz
·
Publicado
2026-02-17
·
Atualizado
2026-03-07
·
CVE-2026-28459
CVSS v3.1
8.1
Alta
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:H |
Nome do Software Vulnerável e Versões Afetadas
Versões do OpenClaw anteriores a 2026.2.12
Descrição
Versões do OpenClaw anteriores a 2026.2.12 não validam adequadamente o parâmetro de caminho
sessionFile, permitindo potencialmente que clientes de gateway autenticados gravem dados de transcrição em locais arbitrários no sistema de arquivos do host. Um invasor pode fornecer um caminho sessionFile fora do diretório de sessões para criar arquivos e anexar dados repetidamente, o que pode levar à corrupção de configuração ou negação de serviço. O problema envolve o gateway aceitar um caminho sessionFile não confiável ao resolver o arquivo de transcrição da sessão.Recomendações
Atualize o OpenClaw para a versão 2026.2.12 ou posterior.
Correção
Improper Access Control
OS Command Injection
Relative Path Traversal
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Openclaw