Plataforma
nodejs
Componente
openclaw
Corrigido em
2026.2.15
2026.1.25
2026.2.14
A vulnerabilidade CVE-2026-26317 é uma falha de Cross-Site Request Forgery (CSRF) identificada no openclaw, uma biblioteca para Node.js. Essa falha permite que sites maliciosos explorem o controle do navegador local de um usuário, potencialmente causando alterações de estado não autorizadas. A vulnerabilidade afeta versões do openclaw menores ou iguais a 2026.2.14 e foi publicada em 18 de fevereiro de 2026. A correção está disponível na versão 2026.2.14.
Um atacante pode explorar essa vulnerabilidade CSRF para realizar ações não autorizadas no contexto do navegador da vítima. Isso inclui a manipulação de cookies, a abertura de novas abas, a alteração de configurações do navegador e outras ações que o openclaw controla. Embora o binding de loopback reduza a exposição remota, ele não impede que solicitações iniciadas pelo navegador de origens maliciosas causem alterações de estado. A exploração bem-sucedida requer que o serviço de controle do navegador seja acessível no contexto do navegador da vítima, o que é comum em muitos cenários de uso.
A vulnerabilidade foi divulgada publicamente em 18 de fevereiro de 2026. A probabilidade de exploração é considerada média, dada a natureza da vulnerabilidade CSRF e a necessidade de um site malicioso para induzir a vítima a interagir com ele. Não há evidências de exploração ativa em campanhas conhecidas no momento da publicação. A vulnerabilidade não está listada no KEV (CISA Known Exploited Vulnerabilities) até o momento.
Organizations and developers utilizing OpenClaw for automated browser testing, web scraping, or other browser control tasks are at risk. Specifically, those using OpenClaw in environments where users frequently browse untrusted websites or are susceptible to social engineering attacks are particularly vulnerable. Shared hosting environments where multiple applications share the same Node.js instance could also amplify the risk.
• nodejs: Monitor for unusual browser activity originating from external websites. Use ps aux | grep openclaw to identify running OpenClaw processes. Examine Node.js application logs for suspicious requests to OpenClaw endpoints.
• generic web: Inspect browser developer tools network requests for unexpected POST requests to OpenClaw endpoints. Check browser extensions for potentially malicious code.
• generic web: Review CSP headers to ensure they are properly configured to restrict cross-origin requests.
disclosure
Status do Exploit
EPSS
0.02% (percentil 4%)
CISA SSVC
Vetor CVSS
A mitigação primária para a vulnerabilidade CVE-2026-26317 é atualizar o openclaw para a versão 2026.2.14 ou superior. Essa versão inclui a correção para a falha CSRF. Se a atualização imediata não for possível, considere implementar medidas de proteção adicionais, como a validação rigorosa do cabeçalho Origin/Referer nas rotas de mutação do localhost. Implementar políticas de segurança de conteúdo (CSP) também pode ajudar a mitigar o risco. Após a atualização, confirme a correção verificando se as solicitações cross-origin não são mais aceitas sem validação adequada.
Atualize OpenClaw para a versão 2026.2.14 ou posterior. Como mitigação alternativa, habilite a autenticação do controle do navegador (token/senha) e evite executá-lo com a autenticação desabilitada.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-26317 is a CSRF vulnerability in OpenClaw allowing malicious websites to trigger unauthorized actions within a victim's browser control plane.
You are affected if you are using OpenClaw versions less than or equal to the vulnerable release. Check your installed version and upgrade accordingly.
Upgrade OpenClaw to version 2026.2.14 or later. Consider implementing strict CSP directives as an interim measure.
There is currently no indication of active exploitation in the wild or publicly available proof-of-concept code.
Refer to the OpenClaw project's official advisory channels and GitHub repository for the latest information and updates.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.