Plataforma
nodejs
Componente
openclaw
Corrigido em
2026.2.14
2026.2.14
A vulnerabilidade CVE-2026-28476 é uma falha de Server-Side Request Forgery (SSRF) identificada no OpenClaw, especificamente na extensão Tlon (Urbit). Essa falha permite que um atacante, sob condições específicas, manipule o OpenClaw para realizar requisições HTTP para hosts arbitrários, potencialmente acessando recursos internos. A vulnerabilidade afeta versões do OpenClaw entre 0 e 2026.2.14, sendo corrigida na versão 2026.2.14.
O impacto da vulnerabilidade SSRF reside na capacidade de um atacante contornar as restrições de rede e acessar recursos internos que normalmente não seriam acessíveis externamente. Um atacante poderia explorar essa falha para escanear a rede interna em busca de outros serviços vulneráveis, exfiltrar dados confidenciais armazenados em servidores internos ou até mesmo comprometer outros sistemas dentro da rede. A exploração bem-sucedida depende da instalação e configuração da extensão Tlon (Urbit) e da capacidade do atacante de influenciar a URL Urbit configurada. A vulnerabilidade não afeta instalações que não utilizam a extensão Tlon ou onde a URL Urbit não é suscetível a manipulação.
A vulnerabilidade foi divulgada em 2026-03-05. Não há informações disponíveis sobre exploração ativa ou a inclusão em catálogos como o KEV. A probabilidade de exploração é considerada baixa a moderada, dependendo da prevalência do uso da extensão Tlon (Urbit) e da implementação de medidas de segurança adicionais.
Organizations deploying OpenClaw with the Tlon (Urbit) extension enabled are at risk. This includes those using OpenClaw for custom applications or integrations where the Urbit URL is not carefully controlled. Shared hosting environments where users can configure extensions pose a heightened risk.
• nodejs: Monitor OpenClaw logs for unusual outbound HTTP requests, particularly those originating from the Tlon (Urbit) extension. Use lsof or netstat to identify processes making connections to unexpected destinations.
lsof -i | grep claw• generic web: Examine access logs for requests to internal resources that should not be accessible from the outside. Check response headers for signs of SSRF exploitation.
grep "internal.domain.com" /var/log/nginx/access.logdisclosure
Status do Exploit
EPSS
0.07% (percentil 22%)
CISA SSVC
Vetor CVSS
A mitigação primária para CVE-2026-28476 é a atualização para a versão 2026.2.14 do OpenClaw, que inclui a correção para essa vulnerabilidade. Se a atualização imediata não for possível, é crucial configurar corretamente a URL Urbit, garantindo que ela não seja influenciada por entradas não confiáveis. Implementar regras de firewall para restringir o acesso de saída do OpenClaw a hosts específicos e confiáveis pode ajudar a limitar o impacto potencial de uma exploração bem-sucedida. Monitore os logs do OpenClaw em busca de requisições HTTP incomuns ou suspeitas que possam indicar uma tentativa de exploração.
Atualize OpenClaw para a versão 2026.2.14 ou posterior. Esta versão corrige a vulnerabilidade de Server-Side Request Forgery (SSRF) na extensão Tlon Urbit ao validar corretamente as URLs fornecidas pelo usuário para a autenticação.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-28476 is a server-side request forgery vulnerability in OpenClaw's Tlon (Urbit) extension, allowing attackers to make HTTP requests to arbitrary destinations.
You are affected if you are using OpenClaw versions 0–2026.2.14 and have the Tlon (Urbit) extension installed and configured.
Upgrade OpenClaw to version 2026.2.14 or later. Alternatively, disable the Tlon (Urbit) extension if an upgrade is not immediately possible.
There is currently no evidence of active exploitation, and no public proof-of-concept exploits are available.
Refer to the OpenClaw project's official security advisories for the most up-to-date information and guidance.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.