PT-2026-39680 · Openclaw · Openclaw

Keensecuritylab

·

Publicado

2026-04-29

·

Atualizado

2026-05-11

·

CVE-2026-44991

CVSS v4.0

5.3

Média

VetorAV:N/AC:L/AT:N/PR:L/UI:N/VC:N/VI:L/VA:N/SC:N/SI:N/SA:N
Nome do Software Vulnerável e Versões Afetadas OpenClaw versões anteriores a 2026.4.21
Descrição Existe uma falha de bypass de autorização em command-auth.ts que permite que remetentes que não são proprietários executem comandos slash impostos ao proprietário. Isso ocorre quando remetentes de entrada com curingas (wildcards) são configurados sem definições explícitas de allowFrom do proprietário. Atacantes podem ignorar as verificações de autorização exclusivas do proprietário enviando comandos como '/send', '/config' ou '/debug' em canais afetados.
Recomendações Atualize para a versão 2026.4.21.

Correção

Missing Authorization

Incorrect Authorization

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

Enumeração de Fraquezas

Identificadores relacionados

CVE-2026-44991
GHSA-C28G-VH7M-FM7V
GHSA-P3PV-C954-9M6F

Produtos afetados

Openclaw