취약점  ·  2026-07-19

OpenClaw가 MCP SSE Redirects 중에 Authorization Headers를 전달

취약점Medium 영향도GlobalCVE-2026-62208
NVD는 OpenClaw의 MCP SSE transport가 민감한 Authorization headers를 redirect 대상으로 전달하는 medium-severity(CVSS 6.5) credential-leak/authorization-scope 문제를 발표했습니다.
redirect에서 auth headers를 전달하는 것은 고전적인 SSRF/credential-leak 패턴입니다. MCP 컨텍스트에서 이는 악의적이거나 손상된 MCP server endpoint가 redirect를 통해 operator의 authorization token을 캡처하도록 할 수 있으며, 이는 operator의 구성에 따라 confidentiality에 영향을 미칩니다.
영향을 받는 기능이 활성화되고 도달 가능할 때, OpenClaw는 MCP SSE (Server-Sent Events) redirects 중에 Authorization headers를 전달할 수 있으며, 이는 lower-trust 호출자 또는 구성된 입력 경로가 호출자의 의도된 authorization 범위를 초과하는 작업을 실행하거나 지속하도록 할 수 있습니다.
OpenClaw 2026.6.5 이전
GHSA-9c3v-684m-579c에 따라 OpenClaw 2026.6.5 이상으로 업그레이드하세요. 필요하지 않은 경우 MCP SSE redirect 추적 활성화를 피하세요.
GitHub Security Advisory GHSA-9c3v-684m-579c
라이브 피드에서 보기 AI 보안 및 거버넌스 관련 소식을 더 살펴보세요 — 매일 아침 업데이트.
피드 열기 →