Plataforma
nodejs
Componente
openclaw
Corrigido em
2026.3.25
2026.3.28
A vulnerabilidade CVE-2026-35629 representa um problema de SSRF (Server-Side Request Forgery) no pacote openclaw, uma extensão de canal para Node.js. Essa falha permite que um atacante force o servidor a fazer requisições a recursos internos, potencialmente expondo informações sensíveis. Versões do openclaw até 2026.3.24 são afetadas, com uma correção disponível a partir da versão 2026.3.25.
Um atacante explorando essa vulnerabilidade pode induzir o servidor a fazer requisições a recursos internos que normalmente não seriam acessíveis externamente. Isso pode incluir o acesso a arquivos de configuração, APIs internas, ou até mesmo outros serviços rodando na mesma rede. O impacto potencial varia dependendo da sensibilidade dos recursos acessíveis, podendo levar à divulgação de informações confidenciais, execução remota de código (em cenários mais complexos) e comprometimento da integridade do sistema. Essa vulnerabilidade é similar a outras falhas de SSRF que permitem o acesso a metadados de instâncias de nuvem ou a serviços internos protegidos por firewalls.
A vulnerabilidade foi divulgada em 29 de março de 2026. Não há evidências de exploração ativa no momento da publicação. A pontuação de severidade CVSS é 7.5 (ALTO), indicando uma probabilidade moderada de exploração. Não foi listada no KEV (Known Exploited Vulnerabilities) da CISA até o momento.
Applications utilizing the openclaw Node.js package in their backend infrastructure are at risk. This includes projects relying on openclaw for channel extension functionality, particularly those with configurations allowing for flexible base URL settings. Shared hosting environments where openclaw is installed and configured by the hosting provider are also potentially vulnerable.
• nodejs / server:
npm list openclawThis command will list installed versions of openclaw. Check if the version is <= 2026.3.24. • nodejs / server:
grep -r 'fetchWithSsrFGuard' ./node_modules/openclaw/Search for the fetchWithSsrFGuard function within the openclaw module. Its presence indicates the fix is applied.
• generic web:
Review application logs for unusual outbound requests originating from the server, especially those targeting internal IP addresses or sensitive internal endpoints.
disclosure
Status do Exploit
EPSS
0.04% (percentil 12%)
CISA SSVC
A mitigação primária para CVE-2026-35629 é atualizar o pacote openclaw para a versão 2026.3.28 ou superior, que inclui a correção para a vulnerabilidade SSRF. Se a atualização imediata não for possível devido a problemas de compatibilidade, considere implementar medidas de mitigação temporárias. Uma possível solução é restringir as URLs base configuráveis no openclaw, garantindo que elas apontem apenas para domínios confiáveis. Além disso, a implementação de um Web Application Firewall (WAF) com regras para bloquear requisições suspeitas pode ajudar a reduzir o risco de exploração. Monitore os logs do servidor em busca de requisições incomuns ou tentativas de acesso a recursos internos não autorizados.
Atualize OpenClaw para a versão 2026.3.25 ou superior para mitigar a vulnerabilidade de falsificação de solicitações do lado do servidor (SSRF). Esta atualização corrige as chamadas fetch() sem proteção nas extensões de canal, prevenindo o acesso não autorizado a recursos restritos.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-35629 is a HIGH severity Server-Side Request Forgery (SSRF) vulnerability in the openclaw Node.js package, allowing attackers to access internal resources.
Yes, if you are using openclaw versions 2026.3.24 or earlier, you are affected by this SSRF vulnerability.
Upgrade openclaw to version 2026.3.28 or later. Consider WAF rules to restrict outbound requests as a temporary workaround.
As of now, there are no confirmed reports of active exploitation, but the vulnerability is being actively investigated.
Refer to the openclaw project's repository and associated security advisories for the latest information: [https://github.com/openclaw/openclaw](https://github.com/openclaw/openclaw)
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.