CVE-2026-28478

Nome do Software Vulnerável e Versões Afetadas Versões do OpenClaw anteriores a 2026.2.13 Versões do clawdbot anteriores a 2026.1.24-3

Descrição O software apresenta um problema de negação de serviço nos tratadores de webhook devido a limites insuficientes no tamanho do corpo da solicitação e no tempo de processamento. Atacantes remotos não autenticados podem explorar isso enviando cargas JSON excessivamente grandes ou uploads lentos aos endpoints de webhook, levando a um aumento no uso de memória e à possível degradação do serviço. O problema decorre da falta de aplicação consistente dos limites maxBytes e timeoutMs em cargas de solicitação em buffer em vários caminhos de código do webhook. Especificamente, alguns tratadores analisam internamente os corpos das solicitações sem proteção adequada no nível de fluxo. Os endpoints de webhook afetados incluem LINE, Nextcloud Talk, Google Chat, Zalo, BlueBubbles, Nostr profile HTTP, voice-call e hooks de gateway. Além disso, os tratadores do Slack, Telegram e Feishu são vulneráveis devido à análise interna do corpo da solicitação. O caminho do webhook do MS Teams também é afetado devido à falta de tratamento explícito dos limites do corpo JSON no Express.

Recomendações Versões do OpenClaw anteriores a 2026.2.13 devem ser atualizadas para a versão 2026.2.13 ou posterior. Versões do clawdbot anteriores a 2026.1.24-3 devem ser atualizadas para a versão 2026.1.24-3 ou posterior.