CVE-2026-28467

Nome do Software Vulnerável e Versões Afetadas Versões do OpenClaw anteriores a 2026.2.2

Descrição O software contém uma vulnerabilidade de Falsificação de Solicitação do Lado do Servidor (SSRF) no tratamento de URLs de anexos e mídia. Isso permite que atacantes remotos recuperem dados de URLs HTTP(S) arbitrárias. Um atacante que consegue controlar URLs de mídia por meio de mecanismos como sendAttachment ou funcionalidades de resposta automática pode desencadear SSRF contra recursos internos e potencialmente exfiltrar os dados da resposta obtida como anexos. O problema origina-se de uma chamada bruta fetch(url) sem proteções contra SSRF nas versões afetadas. A partir da versão 2026.2.2, a obtenção de mídia remota inclui verificações SSRF, como bloqueio de endereços privados, loopback e link-local, DNS pinning e tratamento de redirecionamentos. O componente vulnerável é a funcionalidade de obtenção de mídia remota.

Recomendações Atualize para o OpenClaw versão 2026.2.2 ou posterior.