CVE-2026-28454

Nome do Software Vulnerável e Versões Afetadas Versões do OpenClaw anteriores a 2026.2.2 Versões do OpenClaw 2026.1.30 e anteriores

Descrição Quando o modo de webhook do Telegram está ativado sem um segredo de webhook configurado, o software pode aceitar solicitações HTTP POST não autenticadas no endpoint do webhook do Telegram e confiar em JSON de atualização controlado pelo invasor. Isso pode permitir atualizações do Telegram forjadas que falsificam message.from.id e chat.id, potencialmente contornando listas de permissão de remetentes e executando comandos privilegiados do bot. Invasores podem forjar atualizações do Telegram falsificando esses campos para contornar listas de permissão de remetentes e executar comandos privilegiados do bot. A vulnerabilidade ocorre devido à falha em validar segredos de webhook quando o modo de webhook do Telegram está ativado. O endpoint de API afetado é o endpoint do webhook do Telegram. Os parâmetros vulneráveis incluem message.from.id e chat.id.

Recomendações Versões do OpenClaw anteriores a 2026.2.1: Configure um channels.telegram.webhookSecret forte e garanta que seu proxy reverso encaminhe o cabeçalho X-Telegram-Bot-Api-Secret-Token inalterado. Versão do OpenClaw 2026.1.30 e anteriores: Configure um channels.telegram.webhookSecret forte e garanta que seu proxy reverso encaminhe o cabeçalho X-Telegram-Bot-Api-Secret-Token inalterado.