CVE-2026-26317

Nome do Software Vulnerável e Versões Afetadas OpenClaw, versões anteriores a 2026.2.14 clawdbot, versões anteriores a 2026.1.24-3

Descrição Rotas de mutação voltadas para o navegador no localhost aceitavam solicitações de navegador de origem cruzada sem validação explícita de Origin/Referer. A vinculação de loopback reduz a exposição remota, mas não impede solicitações iniciadas pelo navegador de origens maliciosas. Um site malicioso pode acionar alterações de estado não autorizadas contra o plano de controle do navegador OpenClaw local da vítima, como abrir abas, iniciar ou parar o navegador, ou modificar armazenamento e cookies, caso o serviço de controle do navegador seja acessível via loopback dentro do contexto do navegador da vítima. O problema decorre de pontos de extremidade HTTP de mutação expostos que não possuem uma proteção do tipo CSRF, permitindo que os navegadores enviem solicitações de origem cruzada para endereços de loopback sem validação adequada.

Recomendações Versões anteriores a 2026.2.14: Atualize para a versão 2026.2.14 ou posterior. Versões anteriores a 2026.1.24-3: Atualize para a versão 2026.1.24-3 ou posterior. Habilite a autenticação de controle do navegador (token/senha) e evite executar sem autenticação.