CVE-2026-44116

Nome do Software Vulnerável e Versões Afetadas OpenClaw versões anteriores a 2026.4.22

Descrição Um problema de server-side request forgery (SSRF) existe no plugin Zalo. A função sendPhoto() falha ao validar URLs de fotos externas através da guarda de SSRF. Isso permite que atacantes ignorem a proteção fornecendo URLs de fotos maliciosas para a API do Zalo Bot, possivelmente permitindo o acesso não autorizado a recursos internos.

Recomendações Atualize para a versão 2026.4.22 ou posterior. Como medida paliativa temporária, restrinja o acesso à função sendPhoto() no plugin Zalo.