CVE-2026-28395

Nome do Software Vulnerável e Versões Afetadas OpenClaw versões 2026.1.14-1 até 2026.2.11

Descrição O software apresenta um problema de vinculação de rede inadequada no servidor de retransmissão da extensão Chrome. O servidor manipula incorretamente os hosts curinga, interpretando-os como endereços de loopback. Isso permite que o servidor de retransmissão HTTP/WS seja vinculado a todas as interfaces quando uma cdpUrl curinga é configurada. Atacantes remotos podem, potencialmente, acessar endpoints HTTP de retransmissão de fora da rede pretendida, o que poderia expor a presença do serviço e informações sobre as portas. Isso também poderia permitir ataques de negação de serviço e de força bruta contra o cabeçalho do token de retransmissão. O componente vulnerável é o servidor de retransmissão da extensão Chrome, especificamente a função ensureChromeExtensionRelayServer. A variável cdpUrl é um fator crucial para desencadear esse problema.

Recomendações Atualize para a versão 2026.2.12 ou posterior.