PT-2026-35760 · Openclaw · Openclaw

Antaisecuritylab

Publicado

2026-04-07

Atualizado

2026-05-01

CVE-2026-41375

CVSS v4.0

6.9

Média

Vetor

AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:L/VA:N/SC:N/SI:N/SA:N

Nome do Software Vulnerável e Versões Afetadas OpenClaw versões anteriores a 2026.3.28

Descrição Existe uma falha de bypass de autorização nos endpoints "/phone arm" e "/phone disarm". O sistema não aplica corretamente as verificações de escopo operator.admin para canais externos, permitindo que atacantes armem ou desarmem canais telefônicos sem os privilégios administrativos necessários.

Recomendações Atualize para a versão 2026.3.28 ou posterior. Restrinja o acesso aos endpoints "/phone arm" e "/phone disarm" para minimizar o risco de exploração.

Correção

Incorrect Authorization

Improper Authorization

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-863CWE-285

Identificadores relacionados

CVE-2026-41375

GHSA-H2V7-XC88-XX8C

Produtos afetados

Openclaw

PT-2026-35760 · Openclaw · Openclaw

CVE-2026-41375

Enumeração de Fraquezas

Identificadores relacionados

Produtos afetados

Referências · 8