PT-2026-38242 · Openclaw · Openclaw

Dhyabi2

·

Publicado

2026-04-17

·

Atualizado

2026-05-14

·

CVE-2026-44109

CVSS v3.1

9.8

Crítica

VetorAV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Nome do Software Vulnerável e Versões Afetadas OpenClaw versões anteriores a 2026.4.15
Descrição Existe uma falha de bypass de autenticação na validação de webhook e card-action do Feishu. Quando a configuração encryptKey está ausente ou os tokens de callback estão em branco, o sistema falha em modo aberto em vez de rejeitar as solicitações. Isso permite que solicitações não autenticadas alcancem o despacho de comandos ao ignorar a verificação de assinatura e a proteção contra replay, o que pode levar à execução de comandos arbitrários.
Recomendações Atualize para a versão 2026.4.15 ou posterior.

Correção

Improper Authentication

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-1188CWE-287CWE-294

Identificadores relacionados

CVE-2026-44109
GHSA-CJG8-85GJ-V9Q2
GHSA-XH72-V6V9-MWHC

Produtos afetados

Openclaw