CVE-2026-28475

Nome do Software Vulnerável e Versões Afetadas Versões do OpenClaw anteriores a 2026.2.13

Descrição O software utiliza comparação de strings em tempo não constante para validação do token de hook, o que pode permitir que atacantes infiram tokens por meio de medições de tempo. Atacantes remotos com acesso à rede ao endpoint de hooks podem explorar canais laterais de tempo ao longo de múltiplas solicitações para recuperar gradualmente o token de autenticação. A latência e o jitter no mundo real podem dificultar medições confiáveis. O problema requer que os hooks estejam expostos a uma rede não confiável e um grande número de solicitações.

Recomendações Atualize para a versão 2026.2.13 ou posterior do OpenClaw. Se uma atualização imediata não for possível, restrinja o acesso à rede ao endpoint de hooks e rotacione o token de hooks após a atualização.