PT-2026-39680 · Openclaw · Openclaw
Keensecuritylab
·
Publicado
2026-04-29
·
Atualizado
2026-05-11
·
CVE-2026-44991
CVSS v4.0
5.3
Média
| Vetor | AV:N/AC:L/AT:N/PR:L/UI:N/VC:N/VI:L/VA:N/SC:N/SI:N/SA:N |
Nome do Software Vulnerável e Versões Afetadas
OpenClaw versões anteriores a 2026.4.21
Descrição
Existe uma falha de bypass de autorização em
command-auth.ts que permite que remetentes que não são proprietários executem comandos slash impostos ao proprietário. Isso ocorre quando remetentes de entrada com curingas (wildcards) são configurados sem definições explícitas de allowFrom do proprietário. Atacantes podem ignorar as verificações de autorização exclusivas do proprietário enviando comandos como '/send', '/config' ou '/debug' em canais afetados.Recomendações
Atualize para a versão 2026.4.21.
Correção
Missing Authorization
Incorrect Authorization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Openclaw