Katalog CVE

CVE-2026-32913

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

OpenClaw przed wersją 2026.3.7 zawiera podatność na niewłaściwą walidację nagłówków w funkcji fetchWithSsrFGuard, która przekazuje niestandardowe nagłówki autoryzacji przez przekierowania między różnymi źródłami. Atakujący mogą wywołać przekierowania do innych źródeł, aby przechwycić wrażliwe nagłówki, takie jak X-Api-Key i Private-Token, przeznaczone dla oryginalnego celu.

Ocena ryzyka

Organizacja może być narażona na przechwytywanie wrażliwych danych autoryzacyjnych, co może prowadzić do nieautoryzowanego dostępu do systemów i danych. To zwiększa ryzyko naruszenia bezpieczeństwa i utraty poufnych informacji.

Rekomendacja

Zaleca się aktualizację OpenClaw do wersji 2026.3.7 lub nowszej, aby usunąć tę podatność. Dodatkowo warto przeprowadzić audyt zabezpieczeń aplikacji, aby zminimalizować ryzyko związane z przekierowaniami między źródłami.

Oryginalny opis (angielski, źródło NVD)

OpenClaw before 2026.3.7 contains an improper header validation vulnerability in fetchWithSsrFGuard that forwards custom authorization headers across cross-origin redirects. Attackers can trigger redirects to different origins to intercept sensitive headers like X-Api-Key and Private-Token intended for the original destination.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS