CVE-2026-53859

OpenClaw < 2026.5.26 - Hostname Validation Bypass via Trailing-Dot Inconsistency

CVSS 6 MEDIUMEPSS 0.2%CWE-1023 CWE-918

Em resumo

O OpenClaw anterior à versão 2026.5.26 possui um erro na validação de nomes de hosts, permitindo que atacantes contornem listas de bloqueio adicionando um ponto no final das URLs. Isso significa que usuários podem ser redirecionados para sites bloqueados que os administradores acreditavam estar protegidos.

Detalhe técnico

A vulnerabilidade está na lógica de validação de hostname que não normaliza consistentemente a notação de ponto final ao comparar com políticas de blocklist. Atacantes podem construir URLs derivadas de modelos ou workspaces com pontos finais para contornar verificações de blocklist de hostname (CWE-918, CWE-1023), acessando destinos que deveriam ser restritos pelas políticas do operador.

Resumo gerado e traduzido por IA a partir da descrição oficial.

OpenClaw before 2026.5.26 contains a hostname validation vulnerability allowing attackers to bypass blocklist comparisons using trailing-dot notation in model or workspace-derived URLs. Attackers can exploit inconsistent hostname checks to reach destinations that operators intended to block through hostname policies.

CVSS:4.0/AV:N/AC:L/AT:P/PR:L/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N

Produtos afetados

OpenClaw · OpenClaw

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →

Referências

https://github.com/openclaw/openclaw/security/advisories/GHSA-gxg4-2rrr-jhc7 https://www.vulncheck.com/advisories/openclaw-hostname-validation-bypass-via-trailing-dot-inconsistency