CVE-2026-26322

Nome do Software Vulnerável e Versões Afetadas Versões do OpenClaw anteriores a 2026.2.14

Descrição A ferramenta Gateway no OpenClaw aceitava um gatewayUrl fornecido pela ferramenta sem restrições suficientes, potencialmente fazendo com que o host do OpenClaw tentasse estabelecer conexões WebSocket de saída para alvos especificados pelo usuário. Isso requer a capacidade de invocar ferramentas que aceitam substituições de gatewayUrl. O problema originou-se de caminhos de chamada de ferramenta que permitiam que substituições de gatewayUrl fossem repassadas ao cliente WebSocket do Gateway sem validação, permitindo conexões a endpoints não-gateway, como serviços localhost, endereços de rede privada ou IPs de metadados de nuvem. Na maioria dos casos, isso resulta em tentativas de conexão de saída e erros. No entanto, se o alvo suportar WebSocket e estiver acessível, interações adicionais podem ser possíveis.

Recomendações Versões anteriores a 2026.2.14 devem ser atualizadas para a versão 2026.2.14 ou posterior.