OpenClaw < 2026.3.28 - Falsification de requête côté serveur (Server-Side Request Forgery) via téléchargement d'image non protégé dans le fournisseur fal

OpenClaw avant 2026.3.28 contient une vulnérabilité de falsification de requête côté serveur (Server-Side Request Forgery) dans le composant image-generation-provider.ts du fournisseur fal qui permet aux attaquants de récupérer des URL internes. Un relais fal malveillant ou compromis peut exploiter des récupérations de téléchargement d'image non protégées pour exposer les métadonnées et les réponses des services internes via le pipeline d'image.