PT-2026-35559 · Openclaw · Openclaw
Peng Zhou
·
Publicado
2026-04-27
·
Atualizado
2026-06-05
·
CVE-2026-41371
CVSS v3.1
8.5
Alta
| Vetor | AV:N/AC:L/PR:L/UI:N/S:C/C:N/I:H/A:L |
Nome do Software Vulnerável e Versões Afetadas
OpenClaw versões anteriores a 2026.3.28
Descrição
Verificações de autorização inadequadas no caminho 'chat.send' permitem que chamadores de gateway com escopo de escrita realizem operações de redefinição de sessão exclusivas de administradores. Isso permite que invasores rotacionem sessões de destino, arquivem estados de transcrição anteriores e forcem a geração de novos IDs de sessão sem possuir o escopo de administrador necessário.
Recomendações
Atualize para a versão 2026.3.28 ou posterior.
Como medida paliativa temporária, restrinja o acesso à função 'chat.send' para minimizar o risco de redefinições de sessão não autorizadas.
Correção
LPE
RCE
Incorrect Authorization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Openclaw