CVE-2026-35641

Nome do Software Vulnerável e Versões Afetadas OpenClaw versões anteriores a 2026.3.24

Descrição Versões do OpenClaw anteriores a 2026.3.24 contêm uma vulnerabilidade de execução arbitrária de código durante a instalação local de plugins e hooks. Atacantes podem explorar isso criando um arquivo .npmrc malicioso com uma substituição de executável git. Durante a execução do npm install no diretório de pacote em fase de preparação, os atacantes podem usar dependências git para acionar a execução de programas arbitrários especificados no arquivo de configuração .npmrc controlado pelo atacante. A vulnerabilidade reside no fato de que o processo de instalação não remove o arquivo .npmrc raiz do projeto, permitindo que um atacante substitua o caminho do executável git do npm. Isso pode levar à execução arbitrária de código local durante a fase de instalação. Os caminhos afetados incluem os pontos de entrada CLI de plugin e hook, bem como as rotinas de instalação de diretório/arquivo local de plugin e hook. A vulnerabilidade é acionada quando um usuário instala um plugin ou hook local usando comandos como openclaw plugins install <path-or-spec> ou openclaw hooks install <path-or-spec>, onde <path-or-spec> aponta para um pacote malicioso contendo o arquivo .npmrc criado e uma dependência git. A questão é considerada uma preocupação de segurança porque permite a execução de código durante o processo de instalação, antes que o plugin ou hook seja considerado confiável. A vulnerabilidade afeta tanto as instalações de plugins quanto de hooks.

Recomendações Atualize para a versão 2026.3.24 ou posterior do OpenClaw.