CVE-2026-35629

🟡 Monitoruj

W OpenClaw występuje podatność SSRF, umożliwiająca dostęp do zablokowanych zasobów.

CVSS

7.4

EPSS

0.0%

Exploit

none

Vendor

Opis źródłowy (NVD)

OpenClaw before 2026.3.25 contains a server-side request forgery vulnerability in multiple channel extensions that fail to properly guard configured base URLs against SSRF attacks. Attackers can exploit unprotected fetch() calls against configured endpoints to rebind requests to blocked internal destinations and access restricted resources.

ssrf Brak patcha

Źródła i daty

Źródło	Wartość
NVD – CVSS	7.4
CISA KEV (aktywnie wykorzystywane)	Nie
FIRST EPSS (prawdopodobieństwo exploita)	0.0%
Opublikowano (NVD)	2026-04-09 22:16:31 UTC
Ostatnia modyfikacja (NVD)	2026-04-13 15:02:27 UTC

Referencje

https://github.com/openclaw/openclaw/commit/f92c92515bd439a71bd03eb1bc969c1964f17acf (disclosure@vulncheck.com)
https://github.com/openclaw/openclaw/security/advisories/GHSA-rhfg-j8jq-7v2h (disclosure@vulncheck.com)
https://www.vulncheck.com/advisories/openclaw-server-side-request-forgery-via-unguarded-configured-base-urls-in-channel-extensions (disclosure@vulncheck.com)