CVE-2026-35667

Nome do Software Vulnerável e Versões Afetadas: OpenClaw versões anteriores a 2026.3.24

Descrição: Versões do OpenClaw anteriores a 2026.3.24 contêm uma correção incompleta para CVE-2026-27486. O comando de chat !stop usa uma função killProcessTree não corrigida de shell-utils.ts que envia SIGKILL imediatamente sem um desligamento gracioso SIGTERM. Isso pode levar à corrupção de dados, vazamentos de recursos e operações de limpeza de segurança ignoradas. A função vulnerável está localizada em src/agents/shell-utils.ts (linhas 170–192) e é chamada pelo manipulador de comando !stop em src/auto-reply/reply/bash-command.ts (linhas 300-304). O problema surge porque o comando !stop importa a função não corrigida em vez da versão corrigida em src/process/kill-tree.ts. Uma prova de conceito demonstra que a função vulnerável ignora a sequência de desligamento gracioso, enviando SIGKILL diretamente. Isso pode afetar processos que gravam em arquivos, bancos de dados ou executam operações de segurança sensíveis.

Recomendações: Atualize para a versão 2026.3.24 ou posterior do OpenClaw.