CVE-2026-32037
⚪ Do wiadomości
Nieprawidłowa walidacja przekierowań w OpenClaw umożliwia atakującym omijanie zabezpieczeń SSRF i kierowanie do nieautoryzowanych celów.
CVSS
6.0
EPSS
0.0%
Exploit
none
Vendor
openclaw
Opis źródłowy (NVD)
OpenClaw versions prior to 2026.2.22 fail to consistently validate redirect chains against configured mediaAllowHosts allowlists during MSTeams media downloads. Attackers can supply or influence attachment URLs to force redirects to non-allowlisted targets, bypassing SSRF boundary controls.
ssrf
Brak patcha
Źródła i daty
| Źródło | Wartość |
|---|---|
| NVD – CVSS | 6.0 |
| CISA KEV (aktywnie wykorzystywane) | Nie |
| FIRST EPSS (prawdopodobieństwo exploita) | 0.0% |
| Opublikowano (NVD) | 2026-03-19 22:16:39 UTC |
| Ostatnia modyfikacja (NVD) | 2026-03-23 17:15:11 UTC |
Referencje
- https://github.com/openclaw/openclaw/commit/73d93dee64127a26f1acd09d0403b794cdeb4f5c (disclosure@vulncheck.com) [Patch]
- https://github.com/openclaw/openclaw/commit/b34097f62df9d1960cc22600269cd3f3284e2124 (disclosure@vulncheck.com) [Patch]
- https://github.com/openclaw/openclaw/security/advisories/GHSA-w76h-8m22-hpgh (disclosure@vulncheck.com) [Vendor Advisory]
- https://www.vulncheck.com/advisories/openclaw-redirect-chain-bypass-of-media-host-allowlist-in-msteams-attachment-handling (disclosure@vulncheck.com) [Third Party Advisory]