漏洞  ·  2026-07-19

OpenClaw在MCP SSE重定向期间转发授权头

漏洞Medium 影响GlobalCVE-2026-62208
NVD发布了中等严重级别(CVSS 6.5)凭证泄露/授权范围问题,其中OpenClaw的MCP SSE传输将敏感授权头转发到重定向目标。
在重定向时转发身份验证头是经典的SSRF/凭证泄露模式;在MCP上下文中,这可能让恶意或受损的MCP服务器端点通过重定向捕获运营商的授权令牌,具体影响取决于运营商的配置机密性。
启用受影响的功能并可访问时,OpenClaw可能在MCP SSE(服务器发送事件)重定向期间转发授权头,允许较低信任的调用者或配置的输入路径执行或持久化超出调用者预期授权范围的操作。
OpenClaw 2026.6.5之前
根据GHSA-9c3v-684m-579c升级到OpenClaw 2026.6.5或更新版本;避免在不需要的情况下启用MCP SSE重定向跟踪。
GitHub Security Advisory GHSA-9c3v-684m-579c
在实时动态中查看 浏览更多 AI 安全与治理相关发现 — 每日清晨更新。
打开动态 →