Dhyabi2

**Nome do Software Vulnerável e Versões Afetadas** OpenClaw versões anteriores a 2026.4.14 **Description** Um problema de server-side request forgery (SSRF) existe na política de SSRF do navegador que permite a navegação em redes privadas por padrão. Essa configuração incorreta permite que atacantes acessem serviços internos ou endpoints de metadados por meio de requisições direcionadas pelo navegador. O problema decorre da proteção de SSRF do navegador permitir a navegação em rede privada em caminhos onde se esperava um comportamento restritivo. **Recommendations** Atualize para a versão 2026.4.14 ou posterior.

**Nome do Software Vulnerável e Versões Afetadas** OpenClaw versões anteriores a 2026.4.10 **Descrição** Um problema de falsificação de solicitação do lado do servidor (SSRF) existe na política de navegação do navegador. Isso permite que atacantes ignorem a validação de nome de host usando ataques de DNS rebinding, que envolvem a exploração da resolução inconsistente de nomes de host entre a fase de validação e a solicitação de rede real. Consequentemente, os atacantes podem pivotar para recursos internos usando URLs com nomes de host que não estão na lista de permissões. **Recomendações** Atualize para a versão 2026.4.10.

**Nome do Software Vulnerável e Versões Afetadas** OpenClaw versões anteriores a 2026.4.15 **Descrição** Existe uma falha de bypass de autenticação na validação de webhook e card-action do Feishu. Quando a configuração `encryptKey` está ausente ou os tokens de callback estão em branco, o sistema falha em modo aberto em vez de rejeitar as solicitações. Isso permite que solicitações não autenticadas alcancem o despacho de comandos ao ignorar a verificação de assinatura e a proteção contra replay, o que pode levar à execução de comandos arbitrários. **Recomendações** Atualize para a versão 2026.4.15 ou posterior.