PT-2026-35158 · Picoclaw · Picoclaw

Aisec

·

Publicado

2026-04-25

·

Atualizado

2026-05-22

·

CVE-2026-6987

CVSS v3.1

9.8

Crítica

VetorAV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Nome do Software Vulnerável e Versões Afetadas PicoClaw versões anteriores a 0.2.5
Descrição Uma falha de injeção de comando existe no componente Web Launcher Management Plane. Um invasor remoto pode realizar uma manipulação através do endpoint '/api/gateway/restart' para executar comandos arbitrários.
Recomendações No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade. Como medida paliativa temporária, restrinja o acesso ao endpoint '/api/gateway/restart' para minimizar o risco de exploração.

Command Injection

Special Elements Injection

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-77CWE-74

Identificadores relacionados

CVE-2026-6987
GHSA-6R3X-H84W-FHXX

Produtos afetados

Picoclaw