CVE-2026-28481

Nome do Software Vulnerável e Versões Afetadas Versões do OpenClaw anteriores a 2026.2.1

Descrição O software apresenta uma vulnerabilidade de divulgação de informações na funcionalidade de download de anexos do MS Teams (a extensão opcional deve estar habilitada). Ao tentar novamente os downloads após receber respostas 401 ou 403, o aplicativo envia tokens Bearer Authorization para hosts não confiáveis que correspondem à lista de permissões baseada em sufixos permissiva, o que pode levar ao roubo de tokens. A lista de permissões de download padrão utiliza correspondência por sufixo, e uma mensagem que faça referência a um host não confiável, mas na lista de permissões, pode causar o envio do token Bearer para um local incorreto.

Recomendações Atualize para a versão 2026.2.1 ou posterior do OpenClaw. Se a extensão do MS Teams não for necessária, desative-a. Se a atualização não for possível, garanta que a lista de permissões de hosts de autenticação seja rigorosa, incluindo apenas pontos de extremidade de propriedade da Microsoft que exigem autenticação, e evite entradas com curingas ou sufixos amplos.