# CVE-2026-31993 - OpenClaw Vulnerabilidade Relacionada ao CVE-2026-32913 > [!high] CVSS 8.5 - Alto - Framework OpenClaw - Relacionado ao [[cve-2026-32913|CVE-2026-32913]] (vazamento de headers de autorização) > Vulnerabilidade no framework JavaScript OpenClaw relacionada ao advisory do [[cve-2026-32913|CVE-2026-32913]] - o vazamento crítico de headers de autenticação customizados durante redirecionamentos cross-origin. Patch disponível na versão 2026.3.7. ## Visão Geral [[cve-2026-31993|CVE-2026-31993]] é uma vulnerabilidade no framework JavaScript OpenClaw, identificada no mesmo advisory do crítico [[cve-2026-32913|CVE-2026-32913]] - que expõe headers de autenticação customizados (como `X-Api-Key` e `Private-Token`) durante redirecionamentos cross-origin. O OpenClaw é utilizado em aplicações Node.js com Server-Side Rendering (SSR), onde integra múltiplas chamadas de API com autenticação via headers HTTP customizados. A correção para o advisory foi disponibilizada na versão 2026.3.7, lançada em 23 de março de 2026. Equipes de desenvolvimento que utilizam OpenClaw devem atualizar imediatamente e auditar todas as implementações que passam headers de autenticação customizados através da função `fetchWithSsrFGuard`. O risco principal é a exposição de credenciais de API para domínios controlados por atacantes via open redirect, comprometimento de DNS ou man-in-the-middle. > [!latam] Relevância LATAM > Aplicações Node.js com SSR são amplamente desenvolvidas por fintechs e plataformas de e-commerce brasileiras que integram múltiplas APIs com autenticação via headers customizados. O vazamento de API keys de gateways de pagamento e ERPs representa risco financeiro direto para organizações do setor financeiro e varejo no Brasil. ## Detalhes Técnicos **Framework:** OpenClaw (JavaScript/Node.js) **Classe de falha:** Validação inadequada de headers HTTP em redirecionamentos cross-origin **Patch:** Versão 2026.3.7 (disponível desde 23/03/2026) **Relacionado:** [[cve-2026-32913|CVE-2026-32913]] e [[cve-2026-32013|CVE-2026-32013]] ## Detecção e Defesa - Atualizar OpenClaw para versão 2026.3.7 ou superior imediatamente - Auditar código que utiliza `fetchWithSsrFGuard` para headers customizados - Revogar e rotacionar API keys que possam ter sido expostas via [[t1528-steal-application-access-token|T1528]] - Monitorar uso anômalo de API keys em sistemas integrados - Implementar válidação de destino em redirecionamentos HTTP via [[m1021-restrict-web-based-content|M1021]] - Revisar logs de API gateways para requisições com headers de autenticação de origens inesperadas ## Referências - [NVD - CVE-2026-31993](https://nvd.nist.gov/vuln/detail/CVE-2026-31993) - [[cve-2026-32913|CVE-2026-32913]] (CVSS 9.3 - vulnerabilidade principal do advisory) - [[cve-2026-32013|CVE-2026-32013]] (outro CVE do mesmo advisory) - [[t1528-steal-application-access-token|T1528 - Steal Application Access Token]] - [[t1539-steal-web-session-cookie|T1539 - Steal Web Session Cookie]] - [[t1557-adversary-in-the-middle|T1557 - Adversary-in-the-Middle]] - [[m1021-restrict-web-based-content|M1021 - Restrict Web-Based Content]] - [[financial|Financeiro]] - [[retail|Varejo]] - [[technology|Tecnologia]]