CVE-2026-28464

Nome do Software Vulnerável e Versões Afetadas OpenClaw versões anteriores a 2026.2.12

Descrição O software utiliza uma comparação de strings não constante no tempo para validação do token de hook. Isso permite que atacantes possam deduzir tokens por meio de medições de tempo. Atacantes remotos com acesso de rede ao endpoint de hooks podem explorar canais laterais de temporização em múltiplas solicitações para determinar gradualmente o token de autenticação. A latência e o jitter no mundo real podem dificultar medições confiáveis. O problema envolve comparar o token de hook fornecido usando uma comparação de strings padrão, que não é constante no tempo. O endpoint de hooks é o endpoint de API relevante. A operação vulnerável envolve a validação do token de hook.

Recomendações Atualize para a versão 2026.2.12 do OpenClaw ou posterior. Se os usuários não puderem atualizar imediatamente, restrinja o acesso de rede ao endpoint de hooks e rotacione o token de hooks após a atualização.