CVE-2026-25157

Nome do Software Vulnerável e Versões Afetadas Versões do OpenClaw anteriores a 2026.1.29

Descrição O OpenClaw é um assistente de IA pessoal com uma vulnerabilidade de injeção de comandos do sistema operacional. A função sshNodeCommand escapa incorretamente os caminhos de projeto fornecidos pelo usuário, o que pode levar à execução arbitrária de comandos no host SSH remoto quando o comando cd falha. Além disso, a função parseSSHTarget não valida as strings de destino SSH, permitindo que um atacante execute comandos arbitrários na máquina local ao criar uma string de destino que comece com um traço, como -oProxyCommand=.... A vulnerabilidade existe no tratamento de conexões SSH remotas do aplicativo macOS no arquivo CommandResolver.swift. A exploração pode ocorrer se um atacante conseguir influenciar as configurações de conexão remota de um usuário.

Recomendações Atualize para a versão 2026.1.29 do OpenClaw ou posterior.