CVE-2026-28465

Nome do Software Vulnerável e Versões Afetadas Versões do plugin voice-call do OpenClaw anteriores a 2026.2.3 Versões do @clawdbot/voice-call até 2026.1.24

Descrição O plugin voice-call contém uma falha na verificação de webhook que permite que atacantes remotos contornem a autenticação fornecendo cabeçalhos encaminhados não confiáveis. Especificamente, o problema ocorre quando as implantações confiam implicitamente em cabeçalhos encaminhados, como Forwarded ou X-Forwarded-*, permitindo que atacantes manipulem esses cabeçalhos e forjem eventos de webhook. Isso pode ocorrer em configurações de proxy reverso onde esses cabeçalhos não são sobrescritos por um proxy confiável. A causa raiz é a aceitação de cabeçalhos encaminhados não confiáveis durante a verificação do webhook.

Recomendações Versões anteriores a 2026.2.3 devem ser atualizadas para a versão 2026.2.3 ou posterior. Versões até 2026.1.24 devem ser migradas para o pacote @openclaw/voice-call e atualizadas para a versão 2026.2.3 ou posterior. Se uma atualização imediata não for possível, remova os cabeçalhos Forwarded e X-Forwarded-* na borda da rede para impedir que os clientes os forneçam diretamente.