OpenClaw < 2026.3.28 - Falsificação de Requisição do Lado do Servidor (Server-Side Request Forgery) via Download de Imagem Desprotegido no Provider fal

OpenClaw anterior a 2026.3.28 contém uma vulnerabilidade de falsificação de requisição do lado do servidor (server-side request forgery) no componente image-generation-provider.ts do provider fal que permite que atacantes busquem URLs internas. Um relay fal malicioso ou comprometido pode explorar buscas de download de imagem desprotegidas para expor metadados e respostas de serviços internos através do pipeline de imagem.