CVE-2026-28468

Nome do Software Vulnerável e Versões Afetadas Versões do OpenClaw de 2026.1.29-beta.1 até 2026.2.13

Descrição O software contém uma falha no servidor de ponte do navegador em sandbox que não requer autenticação de gateway, permitindo potencialmente que atacantes locais acessem endpoints de controle do navegador. Um atacante local poderia enumerar abas, recuperar URLs WebSocket, executar JavaScript e exfiltrar cookies e dados de sessão de contextos de navegador autenticados. O problema afeta versões a partir de 2026.1.29-beta.1. O servidor de ponte expõe endpoints como /profiles, /tabs, /tabs/open e /agent/*. A exploração é limitada à máquina local, mas pode levar ao comprometimento total da sessão do navegador para uso do navegador em sandbox. O componente vulnerável é o servidor de ponte do navegador em sandbox.

Recomendações Atualize para a versão 2026.2.14. Alternativamente, desative o navegador em sandbox definindo agents.defaults.sandbox.browser.enabled=false.