PT-2026-38248 · Openclaw · Openclaw

Vladimir Tokarev

·

Publicado

2026-04-23

·

Atualizado

2026-05-28

·

CVE-2026-44115

CVSS v2.0

9.0

Alta

VetorAV:N/AC:L/Au:S/C:C/I:C/A:C
Nome do Software Vulnerável e Versões Afetadas OpenClaw versões anteriores a 2026.4.22
Description Um problema de análise de allowlist de execução permite que a expansão de shell seja ocultada em corpos de heredoc não citados. Atacantes podem burlar a validação da allowlist incorporando tokens de expansão de shell em corpos de heredoc, permitindo a execução de comandos não aprovados em tempo de execução. Isso pode levar ao vazamento de chaves de API por meio de caminhos que parecem seguros durante a validação. Aproximadamente 245.000 instâncias estão potencialmente expostas.
Recommendations Atualize para a versão 2026.4.22 ou posterior.

Correção

Incomplete List of Disallowed Inputs

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-184

Identificadores relacionados

BDU:2026-08025
CVE-2026-44115

Produtos afetados

Openclaw