PT-2026-23562 · Openclaw+1 · Openclaw+1
Vincent Koc
·
Publicado
2026-02-14
·
Atualizado
2026-03-11
·
CVE-2026-29609
CVSS v4.0
8.7
Alta
| Vetor | AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X |
Nome do Software Vulnerável e Versões Afetadas
OpenClaw versões anteriores a 2026.2.14
clawdbot versões 2026.1.24 e anteriores
Descrição
O software apresenta um problema de negação de serviço na função
fetchWithGuard. Esta função aloca cargas completas de resposta na memória antes de aplicar os limites maxBytes. Atacantes remotos podem causar esgotamento de memória ao fornecer respostas excessivamente grandes sem cabeçalhos content-length, levando à perda de disponibilidade. O componente afetado está localizado em src/media/input-files.ts. Quando o content-length está ausente ou incorreto, a função response.arrayBuffer() armazena temporariamente a carga completa antes que a verificação de tamanho possa ser executada.Recomendações
OpenClaw versões anteriores a 2026.2.14: Até que uma versão corrigida esteja disponível, desative entradas de mídia baseadas em URL ou restrinja-as a uma lista de permissões de nomes de host rigorosa e utilize limites
maxBytes conservadores.
clawdbot versões 2026.1.24 e anteriores: Até que uma versão corrigida esteja disponível, desative entradas de mídia baseadas em URL ou restrinja-as a uma lista de permissões de nomes de host rigorosa e utilize limites maxBytes conservadores.Exploit
Correção
DoS
Allocation of Resources Without Limits
Resource Exhaustion
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Openclaw
Clawdbot