CVE-2026-28470

Nome do Software Vulnerável e Versões Afetadas Versões do OpenClaw anteriores a 2026.2.2

Descrição O software contém uma falha em sua lista de permissões de aprovação de execução, que pode ser contornada quando a sintaxe de substituição de comandos é utilizada. Especificamente, os atacantes podem executar comandos arbitrários injetando sintaxe de substituição de comandos, como $() ou crases, dentro de strings entre aspas duplas. Isso contorna a proteção pretendida da lista de permissões. O problema afeta apenas instalações onde o recurso de lista de permissões de aprovação de execução está explicitamente habilitado.

Recomendações Atualize para a versão 2026.2.2 ou posterior. Rejeite $() e crases não escapados dentro de aspas duplas durante a análise da lista de permissões.