CVE-2026-35620

Nome do Software Vulnerável e Versões Afetadas OpenClaw versões anteriores a 2026.3.24

Descrição Versões do OpenClaw anteriores a 2026.3.24 contêm verificações de autorização ausentes nos manipuladores de comando de chat /send e /allowlist. O comando /send permite que remetentes autorizados por comando que não são proprietários modifiquem as configurações de política de entrega de sessão somente para proprietários. Os comandos de mutação /allowlist não aplicam o escopo operator.admin. Atacantes com escopo operator.write podem usar /send on|off|inherit para alterar persistentemente a sendPolicy da sessão atual e usar /allowlist add para modificar entradas da lista de permissões sem a devida autorização.

Recomendações Atualize para a versão 2026.3.24 ou posterior do OpenClaw. Como medida de correção, altere o comando /send para exigir status de proprietário em vez de apenas autorização de comando. Reutilize o padrão de rejeição somente para proprietários usado por outras superfícies de comando privilegiadas, como /config e /debug. Adicione cobertura de regressão para garantir que /send seja rejeitado para remetentes que não são proprietários, mesmo que sejam autorizados por comando. Verifique se os proprietários ainda podem usar /send normalmente.