PT-2026-35779 · Openclaw · Openclaw
Keensecuritylab
·
Publicado
2026-03-31
·
Atualizado
2026-04-30
·
CVE-2026-41395
CVSS v4.0
8.2
Alta
| Vetor | AV:N/AC:L/AT:P/PR:N/UI:N/VC:N/VI:H/VA:N/SC:N/SI:N/SA:N |
Nome do Software Vulnerável e Versões Afetadas
OpenClaw versões anteriores a 2026.3.28
Descrição
Existe um problema na verificação de assinatura do Plivo V3 onde o sistema canonicaliza a ordenação de consultas para assinaturas, mas utiliza hashes de URLs brutas para detecção de replay. Isso permite que atacantes reordenem parâmetros de consulta para burlar a detecção de cache de replay, possibilitando o disparo de processamento de chamadas de voz duplicadas utilizando um webhook assinado válido e capturado.
Recomendações
Atualize para a versão 2026.3.28.
Correção
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Openclaw