CVE-2026-26316

Nome do Software Vulnerável e Versões Afetadas Versões do OpenClaw anteriores a 2026.2.13 Versões do @openclaw/bluebubbles anteriores a 2026.2.13

Descrição O plugin opcional de canal iMessage do BlueBubbles poderia aceitar solicitações de webhook como autenticadas baseando-se exclusivamente no endereço TCP do peer ser loopback (127.0.0.1, ::1, ::ffff:127.0.0.1), mesmo quando o segredo do webhook configurado estivesse ausente ou incorreto. Isso não afeta a integração iMessage padrão, a menos que o BlueBubbles esteja instalado e habilitado. Se uma implantação expuser o endpoint de webhook do BlueBubbles através de um reverse proxy no mesmo host, ou se um atacante puder alcançar o loopback via Server-Side Request Forgery (SSRF), uma parte não autenticada poderá injetar eventos de webhook de entrada no pipeline do agente.

Recomendações Versões anteriores a 2026.2.13 devem ser atualizadas para a versão 2026.2.13 ou posterior. Defina uma senha de webhook do BlueBubbles não vazia. Evite implantações nas quais um reverse proxy exposto publicamente encaminha para um Gateway vinculado ao loopback sem autenticação upstream robusta.