CVE-2026-26319

Nome do Software Vulnerável e Versões Afetadas Versões do OpenClaw anteriores a 2026.2.14

Descrição O software OpenClaw, ao utilizar o plugin @openclaw/voice-call, está suscetível a um bypass de autenticação. Especificamente, o manipulador de webhook do Telnyx poderia aceitar solicitações de webhook de entrada não assinadas se a configuração telnyx.publicKey não estivesse definida. Isso permite que chamadores não autenticados potencialmente forjem eventos do Telnyx. O problema ocorre porque a função TelnyxProvider.verifyWebhook() poderia falhar de forma aberta quando nenhuma chave pública do Telnyx estava configurada, tratando solicitações HTTP POST arbitrárias como eventos legítimos do Telnyx. A vulnerabilidade está presente apenas quando o plugin Voice Call está instalado, habilitado e o endpoint do webhook está acessível por um invasor. Um bypass de verificação de assinatura existe apenas para desenvolvimento local via skipSignatureVerification: true, o qual está desativado por padrão e emite um aviso.

Recomendações Configure plugins.entries.voice-call.config.telnyx.publicKey (ou TELNYX PUBLIC KEY) para habilitar a verificação de assinatura.