CVE-2026-28476

Nome do Software Vulnerável e Versões Afetadas Versões do OpenClaw anteriores a 2026.2.14

Descrição A extensão opcional Tlon (Urbit) não valida corretamente as URLs base fornecidas pelo usuário para autenticação, o que leva a uma falsificação de solicitação do lado do servidor (SSRF). Isso permite que atacantes que possam influenciar a URL do Urbit configurada façam solicitações HTTP para hosts arbitrários, incluindo endereços internos. Isso afeta implantações que instalaram e configuraram a extensão Tlon (Urbit) e onde um atacante pode influenciar a URL do Urbit configurada. Implantações que não utilizam a extensão Tlon ou onde usuários não confiáveis não podem alterar a URL do Urbit não são afetadas. O gateway pode ser induzido a fazer solicitações HTTP para hosts escolhidos pelo atacante.

Recomendações As versões anteriores a 2026.2.14 devem ser atualizadas para a versão 2026.2.14 ou posterior.