CVE-2026-41914
🟡 Monitoruj
Wykorzystanie SSRF w OpenClaw umożliwia dostęp do zasobów wewnętrznych.
CVSS
8.5
EPSS
0.0%
Exploit
none
Vendor
openclaw
Opis źródłowy (NVD)
OpenClaw before 2026.4.8 contains a server-side request forgery vulnerability in QQ Bot media download paths that bypass SSRF protection. Attackers can exploit unprotected media fetch endpoints to access internal resources and bypass allowlist policies.
ssrf
Brak patcha
Źródła i daty
| Źródło | Wartość |
|---|---|
| NVD – CVSS | 8.5 |
| CISA KEV (aktywnie wykorzystywane) | Nie |
| FIRST EPSS (prawdopodobieństwo exploita) | 0.0% |
| Opublikowano (NVD) | 2026-04-28 19:37:45 UTC |
| Ostatnia modyfikacja (NVD) | 2026-04-30 14:02:57 UTC |
Referencje
- https://github.com/openclaw/openclaw/commit/d7c3210cd6f5fdfdc1beff4c9541673e814354d5 (disclosure@vulncheck.com) [Patch]
- https://github.com/openclaw/openclaw/security/advisories/GHSA-3fv3-6p2v-gxwj (disclosure@vulncheck.com) [Vendor Advisory]
- https://www.vulncheck.com/advisories/openclaw-server-side-request-forgery-in-qq-bot-media-fetch-paths (disclosure@vulncheck.com) [Third Party Advisory]