Apa yang terjadi
NVD menerbitkan masalah kebocoran kredensial/ruang lingkup otorisasi tingkat medium (CVSS 6.5) di mana pengalihan SSE MCP OpenClaw meneruskan header Otorisasi sensitif ke target pengalihan.
Mengapa penting
Meneruskan header auth pada pengalihan adalah pola SSRF/kebocoran kredensial klasik; dalam konteks MCP ini dapat membiarkan endpoint server MCP berbahaya atau yang dikompromikan menangkap token otorisasi operator melalui pengalihan, berdampak pada kerahasiaan tergantung pada konfigurasi operator.
Vektor serangan
Ketika fitur yang terkena dampak diaktifkan dan dapat dijangkau, OpenClaw dapat meneruskan header Otorisasi selama pengalihan SSE MCP (Server-Sent Events), memungkinkan penelepon kepercayaan lebih rendah atau jalur input yang dikonfigurasi untuk menjalankan atau mempertahankan tindakan di luar cakupan otorisasi penelepon yang dimaksudkan.
Sistem yang terdampak
OpenClaw sebelum 2026.6.5
Mitigasi
Tingkatkan ke OpenClaw 2026.6.5 atau lebih baru per GHSA-9c3v-684m-579c; hindari mengaktifkan pengalihan pengikutan SSE MCP jika tidak diperlukan.