PT-2026-35764 · Openclaw · Openclaw

Peng Zhou

·

Publicado

2026-04-07

·

Atualizado

2026-05-01

·

CVE-2026-41379

CVSS v3.1

7.1

Alta

VetorAV:N/AC:L/PR:L/UI:N/S:U/C:L/I:H/A:N
Nome do Software Vulnerável e Versões Afetadas OpenClaw versões anteriores a 2026.3.28
Descrição Operadores autenticados com permissões de escrita podem escalar privilégios para acessar a persistência de configuração do Talk Voice de classe administrativa. Isso é possível explorando o endpoint 'chat.send' para alcançar e modificar configurações de voz sensíveis destinadas exclusivamente a administradores.
Recomendações Atualize para a versão 2026.3.28 ou posterior. Restrinja o acesso ao endpoint 'chat.send' para usuários com privilégios operator.write para minimizar o risco de exploração.

Correção

LPE

Incorrect Authorization

Improper Privilege Management

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-863CWE-269

Identificadores relacionados

CVE-2026-41379
GHSA-3Q42-XMXV-9VFR

Produtos afetados

Openclaw