CVE-2026-35653

Nome do Software Vulnerável e Versões Afetadas OpenClaw versões 2026.3.22 e anteriores

Descrição As versões OpenClaw 2026.3.22 e anteriores contêm uma questão de autorização incorreta no endpoint ''POST /reset-profile''. Chamadores autenticados com acesso operator.write ao browser.request podem ignorar as restrições de mutação do perfil. Atacantes podem invocar ''POST /reset-profile'' através da superfície browser.request para parar o navegador em execução, fechar as conexões do Playwright e mover os diretórios de perfil para a Lixeira. A vulnerabilidade é devido à função isPersistentBrowserProfileMutation() não classificar ''POST /reset-profile'' como uma mutação protegida, permitindo o acesso através da superfície browser.request. Os caminhos vulneráveis incluem src/gateway/method-scopes.ts:114, src/gateway/server-methods/browser.ts:155-165, src/browser/request-policy.ts:19-25, src/browser/routes/basic.ts:161-170, src/browser/server-context.reset.ts:37-63 e src/node-host/invoke-browser.ts:240-243.

Recomendações Estenda o classificador de mutação de perfil persistente para incluir ''POST /reset-profile''. Reutilize a mesma classificação de rota centralizada em todos os lugares onde a versão atualmente depende de isPersistentBrowserProfileMutation(...), incluindo src/gateway/server-methods/browser.ts e src/node-host/invoke-browser.ts. Adicione cobertura de regressão com um controle de negação para ''POST /reset-profile'' na superfície browser.request de menor privilégio e um controle de permissão para leituras de perfil do navegador que não são mutáveis. Revise as rotas de gerenciamento de perfil próximas para quaisquer outros endpoints de alteração de estado que ainda estejam omitidos do classificador de mutação.