Pesquisadores de cibersegurança revelaram quatro falhas de segurança no OpenClaw que podem ser encadeadas para permitir roubo de dados, elevação de privilégios e persistência no ambiente comprometido.
As vulnerabilidades, batizadas de Claw Chain pela Cyera, podem permitir que um invasor obtenha acesso inicial, exponha dados sensíveis e instale backdoors.
Veja um resumo das falhas abaixo.
CVE-2026-44112
, com pontuação CVSS de 9,6/6,3, é uma falha de condição de corrida do tipo time-of-check/time-of-use no backend sandbox gerenciado do OpenShell.
Ela permite que atacantes burlem as restrições da sandbox e redirecionem gravações para fora da raiz de montagem prevista.
CVE-2026-44113
, com pontuação CVSS de 7,7/6,3, é outra falha TOCTOU no OpenShell que permite contornar as restrições da sandbox e ler arquivos fora da raiz de montagem pretendida.
CVE-2026-44115
, com pontuação CVSS de 8,8, é uma falha causada por uma lista incompleta de entradas proibidas.
Ela permite burlar a validação por allowlist ao incorporar tokens de expansão de shell em um corpo de here document, também conhecido como heredoc, para executar comandos não autorizados em tempo de execução.
CVE-2026-44118
, com pontuação CVSS de 7,8, é uma falha de controle de acesso inadequado que pode permitir que clientes de loopback que não sejam o proprietário se passem por um proprietário, elevem seus privilégios e assumam o controle da configuração do gateway, do agendamento de tarefas cron e do gerenciamento do ambiente de execução.
A Cyera afirmou que a exploração bem-sucedida da
CVE-2026-44112
poderia permitir que um invasor alterasse configurações, instalasse backdoors e estabelecesse controle persistente sobre o host comprometido.
Já a
CVE-2026-44113
poderia ser usada para ler arquivos do sistema, credenciais e artefatos internos.
A cadeia de exploração acontece em quatro etapas.
Primeiro, um plugin malicioso, uma injeção de prompt ou uma entrada externa comprometida obtém execução de código dentro da sandbox do OpenShell.
Depois, o invasor usa a
CVE-2026-44113
e a
CVE-2026-44115
para expor credenciais, segredos e arquivos sensíveis.
Na sequência, explora a
CVE-2026-44118
para obter controle em nível de proprietário sobre o ambiente de execução do agente.
Por fim, usa a
CVE-2026-44112
para instalar backdoors, fazer mudanças de configuração e estabelecer persistência.
Segundo a empresa de cibersegurança, a causa raiz da
CVE-2026-44118
está no fato de que o OpenClaw confia em um sinalizador de propriedade controlado pelo cliente chamado senderIsOwner, que indica se o chamador está autorizado a usar ferramentas restritas ao proprietário, sem validar essa informação com a sessão autenticada.
Em comunicado sobre a correção, o OpenClaw informou que o ambiente de execução loopback do MCP passou a emitir tokens bearer separados para proprietário e não proprietário, e que o senderIsOwner agora é derivado exclusivamente do token usado para autenticar a solicitação.
O cabeçalho spoofable sender-owner deixou de ser emitido e de ser confiado.
Após a divulgação responsável, as quatro vulnerabilidades foram corrigidas na versão 2026.4.22 do OpenClaw.
O pesquisador de segurança Vladimir Tokarev recebeu crédito pela descoberta e pelo relato das falhas.
A orientação é que os usuários atualizem para a versão mais recente para se protegerem contra possíveis ameaças.
“Ao transformar os próprios privilégios do agente em arma, o adversário avança por acesso a dados, elevação de privilégios e persistência, usando o agente como suas mãos dentro do ambiente”, disse a Cyera.
“Cada etapa parece comportamento normal do agente para os controles tradicionais, ampliando o impacto potencial e tornando a detecção muito mais difícil.”
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...