Kerentanan  ·  2026-07-19

OpenClaw Meneruskan Header Otorisasi Selama Pengalihan SSE MCP

KerentananMedium dampakGlobalCVE-2026-62208
NVD menerbitkan masalah kebocoran kredensial/ruang lingkup otorisasi tingkat medium (CVSS 6.5) di mana pengalihan SSE MCP OpenClaw meneruskan header Otorisasi sensitif ke target pengalihan.
Meneruskan header auth pada pengalihan adalah pola SSRF/kebocoran kredensial klasik; dalam konteks MCP ini dapat membiarkan endpoint server MCP berbahaya atau yang dikompromikan menangkap token otorisasi operator melalui pengalihan, berdampak pada kerahasiaan tergantung pada konfigurasi operator.
Ketika fitur yang terkena dampak diaktifkan dan dapat dijangkau, OpenClaw dapat meneruskan header Otorisasi selama pengalihan SSE MCP (Server-Sent Events), memungkinkan penelepon kepercayaan lebih rendah atau jalur input yang dikonfigurasi untuk menjalankan atau mempertahankan tindakan di luar cakupan otorisasi penelepon yang dimaksudkan.
OpenClaw sebelum 2026.6.5
Tingkatkan ke OpenClaw 2026.6.5 atau lebih baru per GHSA-9c3v-684m-579c; hindari mengaktifkan pengalihan pengikutan SSE MCP jika tidak diperlukan.
GitHub Security Advisory GHSA-9c3v-684m-579c
Lihat di umpan langsung Jelajahi temuan keamanan dan tata kelola AI terkait — diperbarui setiap pagi.
Buka umpan →