CVE-2026-45004

Nome do Software Vulnerável e Versões Afetadas OpenClaw versões anteriores a 2026.4.23

Descrição Um problema de execução de código arbitrário existe no resolvedor de configuração de plugin integrado. Durante a resolução de metadados de configuração do provedor, o sistema carrega o arquivo setup-api.js a partir de process.cwd(). Um invasor pode executar JavaScript arbitrário sob a conta do usuário atual ao colocar um arquivo extensions/<plugin>/setup-api.js malicioso em um repositório e convencer um usuário a executar comandos do OpenClaw a partir desse diretório.

Recomendações Atualize para a versão 2026.4.23 ou posterior.