CVE-2026-29613

Nome do Software Vulnerável e Versões Afetadas Versões do OpenClaw anteriores a 2026.2.12

Descrição O manipulador de webhook BlueBubbles no OpenClaw autentica solicitações com base apenas no remoteAddress de loopback, sem validar os cabeçalhos de encaminhamento. Isso permite contornar as senhas de webhook configuradas quando o gateway opera por trás de um proxy reverso. Um atacante remoto não autenticado pode injetar eventos arbitrários de mensagens e reações do BlueBubbles ao acessar o endpoint do proxy. O problema ocorre porque o manipulador aceita solicitações como autenticadas se o remoteAddress for de loopback, sem validar os cabeçalhos de encaminhamento. Isso é explorável quando o OpenClaw Gateway está atrás de um proxy reverso, como Tailscale Serve/Funnel, nginx, Cloudflare Tunnel ou ngrok. O componente vulnerável é o manipulador de webhook do BlueBubbles, que aceita eventos de entrada por meio de um endpoint HTTP POST. O req.socket.remoteAddress é utilizado para autenticação.

Recomendações As versões anteriores a 2026.2.12 devem ser atualizadas para a versão 2026.2.12 ou posterior. Certifique-se de que uma senha de webhook do BlueBubbles esteja configurada. Não exponha publicamente o endpoint de webhook do gateway sem autenticação.