CVE-2026-32913
CriticalSummary
OpenClaw przed wersją 2026.3.7 zawiera podatność na niewłaściwą walidację nagłówków w funkcji fetchWithSsrFGuard, która przekazuje niestandardowe nagłówki autoryzacji przez przekierowania między różnymi źródłami. Atakujący mogą wywołać przekierowania do innych źródeł, aby przechwycić wrażliwe nagłówki, takie jak X-Api-Key i Private-Token, przeznaczone dla oryginalnego celu.
Risk Assessment
Organizacja może być narażona na przechwytywanie wrażliwych danych autoryzacyjnych, co może prowadzić do nieautoryzowanego dostępu do systemów i danych. To zwiększa ryzyko naruszenia bezpieczeństwa i utraty poufnych informacji.
Recommendation
Zaleca się aktualizację OpenClaw do wersji 2026.3.7 lub nowszej, aby usunąć tę podatność. Dodatkowo warto przeprowadzić audyt zabezpieczeń aplikacji, aby zminimalizować ryzyko związane z przekierowaniami między źródłami.
Original NVD description (English source)
OpenClaw before 2026.3.7 contains an improper header validation vulnerability in fetchWithSsrFGuard that forwards custom authorization headers across cross-origin redirects. Attackers can trigger redirects to different origins to intercept sensitive headers like X-Api-Key and Private-Token intended for the original destination.

