CVE-2026-53840

Nome do Software Vulnerável e Versões Afetadas OpenClaw versões anteriores a 2026.5.12

Description Um problema de divulgação de informações existe em servidores MCP streamable-http que encaminha cabeçalhos personalizados configurados pelo operador durante redirecionamentos de origem cruzada (cross-origin). Atacantes que controlam ou comprometem um endpoint MCP podem redirecionar solicitações para exfiltrar cabeçalhos sensíveis, como chaves de API ou credenciais de roteamento de locatário, para origens controladas pelo atacante. Isso ocorre em implantações onde um servidor MCP é configurado com transportType: "streamable-http" e cabeçalhos personalizados sensíveis em mcp.servers.*.headers. O problema é limitado a servidores MCP Streamable HTTP configurados que usam cabeçalhos personalizados e não expõe credenciais não relacionadas.

Recommendations Atualize para a versão 2026.5.12. Como mitigação temporária, evite usar cabeçalhos MCP personalizados com servidores nos quais você não confia totalmente. Rotacione quaisquer credenciais específicas do MCP que possam ter sido expostas por um endpoint de redirecionamento.