PT-2026-39681 · Openclaw · Openclaw

Nathan

Publicado

2026-04-25

Atualizado

2026-05-11

CVE-2026-44992

CVSS v4.0

6.8

Média

Vetor

AV:L/AC:L/AT:P/PR:N/UI:P/VC:H/VI:N/VA:N/SC:H/SI:N/SA:N

Nome do Software Vulnerável e Versões Afetadas OpenClaw versões 2026.4.5 até 2026.4.19

Descrição Uma injeção de variável de ambiente permite que o dotenv do workspace substitua a variável MINIMAX API HOST. Isso permite que invasores redirecionem requisições autenticadas da API MiniMax para origens controladas por eles, expondo a chave da API MiniMax contida nos cabeçalhos de Autorização.

Recomendações Atualizar para a versão 2026.4.20.

Correção

Insufficiently Protected Credentials

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-15CWE-441CWE-522

Identificadores relacionados

CVE-2026-44992

GHSA-4MHR-CXR4-2PRM

GHSA-H2VW-PH2C-JVWF

Produtos afetados

Openclaw

PT-2026-39681 · Openclaw · Openclaw

CVE-2026-44992

Enumeração de Fraquezas

Identificadores relacionados

Produtos afetados

Referências · 9