Múltiplas vulnerabilidades críticas foram descobertas no OpenClaw, potencialmente levando à execução remota de código e escalada de privilégios. Essas vulnerabilidades afetam versões anteriores a 2026.3.11. A aplicação imediata de patches é fortemente recomendada para mitigar esses riscos.
Esses CVEs têm pontuações de severidade crítica, indicando um alto risco de exploração e comprometimento do sistema.
O que é Openclaw?
CVE-2026-28466: Execução Remota de Código via Bypass de Aprovação de Invocação de Nó
Severidade crítica: execução remota de código com pré-requisitos mínimos.
A pontuação EPSS de 0,099 indica uma probabilidade moderada de exploração.
Esta vulnerabilidade permite que invasores com credenciais de gateway válidas ignorem o gating de aprovação de execução para comandos system.run. Ao injetar campos de controle de aprovação, os invasores podem executar comandos arbitrários em hosts de nós conectados.
Como corrigir CVE-2026-28466 no Openclaw
Corrija imediatamente- 1.Atualize o OpenClaw para a versão 2026.2.14 ou posterior.
composer update openclawSolução alternativa: Nenhuma solução alternativa conhecida.
NextGuard sinaliza automaticamente CVE-2026-28466 se Openclaw aparecer em algum de seus projetos monitorados - nenhuma pesquisa manual é necessária.
CVE-2026-28470: Bypass da Lista de Permissões de Execução via Substituição de Comando em Aspas Duplas
Severidade crítica: permite a execução arbitrária de comandos via bypass da lista de permissões.
A pontuação EPSS de 0,092 indica uma probabilidade moderada de exploração.
Esta vulnerabilidade permite que invasores ignorem a lista de permissões de aprovações de execução injetando sintaxe de substituição de comando dentro de strings entre aspas duplas. Os invasores podem incorporar $() ou backticks não escapados para executar comandos não autorizados.
Como corrigir CVE-2026-28470 no Openclaw
Corrija imediatamente- 1.Atualize o OpenClaw para a versão 2026.2.2 ou posterior.
composer update openclawSolução alternativa: Desative as aprovações de execução ou sanitize cuidadosamente a entrada para evitar a substituição de comando.
NextGuard sinaliza automaticamente CVE-2026-28470 se Openclaw aparecer em algum de seus projetos monitorados - nenhuma pesquisa manual é necessária.
CVE-2026-32922: Escalação de Privilégios via Escopo Não Validado em device.token.rotate
Severidade crítica: permite a escalada de privilégios para o nível de administrador.
A pontuação EPSS de 0,214 indica uma probabilidade relativamente alta de exploração.
Esta vulnerabilidade permite que invasores com escopo operator.pairing cunhem tokens com escopos mais amplos. Ao não restringir os escopos recém-cunhados, os invasores podem obter tokens operator.admin para dispositivos emparelhados.
Como corrigir CVE-2026-32922 no Openclaw
Corrija imediatamente- 1.Atualize o OpenClaw para a versão 2026.3.11 ou posterior.
composer update openclawSolução alternativa: Restrinja o acesso à API device.token.rotate e valide cuidadosamente os escopos.
NextGuard sinaliza automaticamente CVE-2026-32922 se Openclaw aparecer em algum de seus projetos monitorados - nenhuma pesquisa manual é necessária.
Fique à frente de outras vulnerabilidades
Identifique e corrija proativamente as vulnerabilidades em suas outras dependências. monitore suas outras dependências para evitar possíveis exploits.
Comparar PlanosPerguntas frequentes
Essas vulnerabilidades representam um risco significativo para as implementações do OpenClaw. Certifique-se de ter aplicado os patches necessários e continue a ver todas as outras vulnerabilidades para manter um ambiente seguro. Monitorar regularmente suas dependências é crucial.
Tópicos relacionados