# CVE-2026-32013 - OpenClaw Vulnerabilidade Relacionada ao CVE-2026-32913 > [!high] CVSS 8.5 - Alto - Framework OpenClaw - Relacionado ao [[cve-2026-32913|CVE-2026-32913]] (vazamento de headers de autorização) > Vulnerabilidade no framework JavaScript OpenClaw relacionada ao advisory do [[cve-2026-32913|CVE-2026-32913]] - o vazamento crítico de headers de autenticação customizados durante redirecionamentos cross-origin. Patch disponível na versão 2026.3.7. ## Visão Geral [[cve-2026-32013|CVE-2026-32013]] é uma vulnerabilidade no framework JavaScript OpenClaw, parte do mesmo advisory que o crítico [[cve-2026-32913|CVE-2026-32913]] (CVSS 9.3) - que expõe headers de autenticação customizados como `X-Api-Key`, `Private-Token` e `X-Auth-Token` durante redirecionamentos cross-origin na função `fetchWithSsrFGuard`. O advisory foi públicado em 23 de março de 2026 com patch disponível na versão 2026.3.7. O risco associado ao advisory OpenClaw é especialmente relevante para aplicações que processam ou orquestram autenticação em múltiplos serviços via SSR - um padrão arquitetural comum em plataformas Node.js modernas. Um atacante que controle um destino de redirecionamento consegue capturar credenciais de API válidas, obtendo acesso não autorizado a sistemas protegidos e potencialmente encadeando comprometimentos via [[t1528-steal-application-access-token|T1528]]. > [!latam] Relevância LATAM > Startups e empresas de tecnologia brasileiras que constroem aplicações Node.js SSR são diretamente afetadas. Plataformas de marketplace, fintechs e SaaS que integram APIs de parceiros com autenticação customizada devem priorizar a atualização para OpenClaw 2026.3.7 e a rotação imediata de API keys que possam ter sido expostas. ## Detalhes Técnicos **Framework:** OpenClaw (JavaScript/Node.js) **Classe de falha:** Validação inadequada de headers HTTP em redirecionamentos cross-origin **Patch:** Versão 2026.3.7 (disponível desde 23/03/2026) **Relacionado:** [[cve-2026-32913|CVE-2026-32913]] e [[cve-2026-31993|CVE-2026-31993]] ## Detecção e Defesa - Atualizar OpenClaw para versão 2026.3.7 ou superior imediatamente - Revogar e rotacionar todas as API keys utilizadas em aplicações OpenClaw - Auditar logs de acesso de APIs integradas para uso não autorizado de credenciais - Implementar monitoramento de detecção de anomalias em chamadas de API via [[t1528-steal-application-access-token|T1528]] - Revisar open redirects em serviços consumidos pela aplicação - Adicionar válidação de destino antes de seguir redirecionamentos HTTP ## Referências - [NVD - CVE-2026-32013](https://nvd.nist.gov/vuln/detail/CVE-2026-32013) - [[cve-2026-32913|CVE-2026-32913]] (CVSS 9.3 - vulnerabilidade principal do advisory) - [[cve-2026-31993|CVE-2026-31993]] (outro CVE do mesmo advisory) - [[t1528-steal-application-access-token|T1528 - Steal Application Access Token]] - [[t1539-steal-web-session-cookie|T1539 - Steal Web Session Cookie]] - [[t1557-adversary-in-the-middle|T1557 - Adversary-in-the-Middle]] - [[m1021-restrict-web-based-content|M1021 - Restrict Web-Based Content]] - [[financial|Financeiro]] - [[retail|Varejo]] - [[technology|Tecnologia]]