PT-2026-30235 · Openclaw · Openclaw

Raax

Publicado

2026-04-03

Atualizado

2026-04-04

CVE-2026-34511

CVSS v4.0

7.0

Alta

Vetor

AV:N/AC:H/AT:P/PR:N/UI:A/VC:H/VI:N/VA:N/SC:H/SI:H/SA:N

Name of the Vulnerable Software and Affected Versions OpenClaw versões anteriores a 2026.4.2

Description A aplicação reutiliza o verificador PKCE como o parâmetro de estado OAuth no fluxo OAuth Gemini, expondo-o através da URL de redirecionamento. Um invasor que captura a URL de redirecionamento pode obter tanto o código de autorização quanto o verificador PKCE, derrotando a proteção PKCE e permitindo a troca de tokens.

Recommendations Atualize para a versão 2026.4.2 ou posterior.

Correção

Insufficient Verification of Data Authenticity

Use of Insufficiently Random Values

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-345CWE-330

Identificadores relacionados

CVE-2026-34511

GHSA-9JPJ-G8VV-J5MF

GHSA-CH86-PXR9-J9H9

Produtos afetados

Openclaw

PT-2026-30235 · Openclaw · Openclaw

CVE-2026-34511

Enumeração de Fraquezas

Identificadores relacionados

Produtos afetados

Referências · 7