CVE-2026-28458

Nome do Software Vulnerável e Versões Afetadas OpenClaw versões 2026.1.20 até 2026.2.0 moltbot versões 0.1.0 e anteriores

Descrição O endpoint WebSocket /cdp do Browser Relay não exigia autenticação, permitindo que sites se conectassem via loopback e acessassem dados sensíveis. Atacantes podem conectar-se a ws://127.0.0.1:18792/cdp para roubar cookies de sessão e executar JavaScript em outras abas do navegador. Os usuários devem ter a extensão Browser Relay instalada e ativa, e devem visitar um site não confiável para que a exploração ocorra. O componente vulnerável expõe um endpoint WebSocket local para encaminhamento de mensagens do Chrome DevTools Protocol (CDP). O caminho de upgrade /cdp verificava se o peer TCP era loopback, mas não exigia um segredo compartilhado e não bloqueava solicitações cross-origin iniciadas pelo navegador.

Recomendações Atualize para a versão 2026.2.1 ou posterior do OpenClaw. Se não puder atualizar imediatamente, desative a extensão Browser Relay ou o servidor relay e evite visitar sites não confiáveis.