PT-2026-33863 · Openclaw · Openclaw

Antaisecuritylab

Publicado

2026-04-03

Atualizado

2026-04-21

CVE-2026-41296

CVSS v3.1

8.2

Alta

Vetor

AV:N/AC:H/PR:L/UI:N/S:C/C:H/I:H/A:N

Name of the Vulnerable Software and Affected Versions OpenClaw versões anteriores a 2026.3.31

Description Uma condição de corrida de tempo de verificação e tempo de uso (TOCTOU) existe na função readFile() da ponte de sistema de arquivos remota. Isso ocorre porque as operações de validação de caminho e leitura de arquivo são realizadas separadamente, permitindo que invasores ignorem as restrições do sandbox e leiam arquivos arbitrários, resultando em uma fuga de sandbox.

Recommendations Atualize para a versão 2026.3.31 ou posterior.

Correção

Time Of Check To Time Of Use

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-367

Identificadores relacionados

CVE-2026-41296

GHSA-9P3R-HH9G-5CMG

Produtos afetados

Openclaw

PT-2026-33863 · Openclaw · Openclaw

CVE-2026-41296

Enumeração de Fraquezas

Identificadores relacionados

Produtos afetados

Referências · 9