CVE-2026-25474

Nome do Software Vulnerável e Versões Afetadas openclaw versões anteriores à 2026.2.1

Descrição No modo webhook do Telegram, se channels.telegram.webhookSecret não estiver definido, o software pode aceitar solicitações HTTP de webhook sem verificar o cabeçalho de token secreto do Telegram. Isso pode permitir atualizações do Telegram forjadas, como a falsificação de message.from.id, se o endpoint do webhook estiver acessível por um atacante. O modo webhook do Telegram não está habilitado por padrão e requer a configuração de channels.telegram.webhookUrl. Um atacante que conseguir acessar o endpoint do webhook pode enviar atualizações forjadas que são processadas como se viessem do Telegram, potencialmente levando a ações não intencionais do bot. O componente vulnerável é a funcionalidade de webhook.

Recomendações versões anteriores à 2026.2.1: Defina um channels.telegram.webhookSecret forte e assegure-se de que seu proxy reverso encaminhe o cabeçalho X-Telegram-Bot-Api-Secret-Token inalterado. versões anteriores à 2026.2.1: Restrinja o acesso de rede ao endpoint do webhook. versões anteriores à 2026.2.1: Como solução alternativa temporária, considere desabilitar o modo webhook do Telegram não configurando channels.telegram.webhookUrl.