# CVE-2026-32913 - Vazamento de Headers de Autorização Cross-Origin no OpenClaw > [!high] CVSS 9.3 - Crítico - Vazamento de Credenciais API via Redirecionamento > Vazamento de headers de autenticação customizados (como `X-Api-Key` e `Private-Token`) durante redirecionamentos cross-origin no framework JavaScript **OpenClaw** (versões anteriores a 2026.3.7). A função `fetchWithSsrFGuard` implementa denylist insuficiente, expondo credenciais para domínios controlados por atacantes. Patch disponível na versão 2026.3.7. ## Visão Geral CVE-2026-32913 é uma vulnerabilidade de **válidação inadequada de headers HTTP** (improper input válidation) no framework JavaScript OpenClaw, afetando todas as versões anteriores a 2026.3.7. O problema está na função `fetchWithSsrFGuard`, que ao seguir redirecionamentos HTTP cross-origin encaminha headers de autenticação para o destino do redirecionamento. A denylist implementada cobre apenas os headers padrão (`Authorization`, `Cookie`, `Cookie2`), mas ignora headers customizados amplamente utilizados em APIs modernas - como `X-Api-Key`, `Private-Token` (GitLab) e `X-Auth-Token` (OpenStack). Um atacante que controle o destino de um redirecionamento - seja por open redirect em um serviço consumido pela aplicação, comprometimento de DNS, ou man-in-the-middle em conexões HTTP - consegue capturar credenciais de API válidas. O impacto prático é grave: acesso não autorizado a sistemas protegidos, personificação da aplicação e comprometimento em cadeia de serviços conectados via APIs. As TTPs associadas incluem [[t1557-adversary-in-the-middle|T1557]], [[t1539-steal-web-session-cookie|T1539]] e [[t1528-steal-application-access-token|T1528]]. > [!latam] Relevância LATAM > OpenClaw é utilizado em aplicações Node.js com Server-Side Rendering (SSR) desenvolvidas por empresas brasileiras, especialmente fintechs e plataformas de e-commerce que integram múltiplas APIs com autenticação via headers customizados. O risco principal para organizações do setor [[financial|financeiro]] e [[retail|varejo]] no Brasil é a exposição de API keys de gateways de pagamento, ERPs e sistemas internos. Equipes de desenvolvimento devem auditar se suas aplicações utilizam headers customizados de autenticação e atualizar imediatamente para a versão 2026.3.7. ## Resumo **CVE-2026-32913** é uma vulnerabilidade crítica de **válidação inadequada de headers** no OpenClaw, um framework JavaScript amplamente utilizado, que permite o vazamento de headers de autorização customizados durante redirecionamentos cross-origin. A falha reside na função `fetchWithSsrFGuard`, que encaminha headers sensíveis como `X-Api-Key` e `Private-Token` para domínios não confiáveis ao seguir redirecionamentos HTTP. A vulnerabilidade foi públicada em 23 de março de 2026 e corrigida na versão 2026.3.7. O impacto é severo porque permite a **captura de credenciais de API** por atacantes que controlam o destino de um redirecionamento. **Pontuação de risco:** - CVSS v3.1: **9.3** (Crítico) - EPSS: dados não disponíveis no momento da públicação - CISA KEV: não listado - Exploit público: não confirmado ## Detalhes Técnicos A vulnerabilidade reside na função `fetchWithSsrFGuard` do OpenClaw, responsável por realizar requisições HTTP com proteções de Server-Side Request Forgery (SSRF). ### Mecanismo da falha Em versões afetadas, a função seguia redirecionamentos cross-origin preservando quase todos os headers HTTP originais. O mecanismo de proteção implementava uma **denylist restrita** que apenas removia os seguintes headers: - `Authorization` - `Proxy-Authorization` - `Cookie` - `Cookie2` Essa abordagem é **insuficiente** porque muitas aplicações e APIs utilizam headers customizados para autenticação: - `X-Api-Key` - comum em APIs REST - `Private-Token` - usado pelo [[GitLab]] e outros serviços - `X-Auth-Token` - usado por [[OpenStack]] e serviços cloud - Headers Bearer em formatos não padronizados ### Fluxo do ataque 1. A aplicação OpenClaw faz uma requisição HTTP para um serviço legítimo, incluindo headers de autenticação customizados 2. O serviço retorna um redirecionamento HTTP (301/302/307/308) para um domínio controlado pelo atacante 3. O OpenClaw segue o redirecionamento, **preservando os headers de autenticação customizados** 4. O atacante captura os headers e obtém credenciais válidas para o serviço original ## Exploração **Status atual:** sem exploração ativa confirmada; sem PoC público disponível. A exploração requer que o atacante controle ou comprometa um endpoint que retorne um redirecionamento HTTP. Cenários práticos incluem: - **Open redirects** em serviços que a aplicação OpenClaw consome - **Comprometimento de DNS** para redirecionar requisições - **Man-in-the-Middle** em conexões HTTP (não HTTPS) ## Impacto Um atacante que capture headers de autorização pode: - **Personificação:** usar credenciais capturadas para se passar pela aplicação legítima ou pelo usuário - **Acesso não autorizado a dados:** acessar APIs e serviços protegidos com as credenciais roubadas - **Escalação de privilégios:** se os tokens capturados tiverem permissões elevadas - **Comprometimento em cadeia:** usar o acesso obtido para atacar outros sistemas conectados via APIs ## Produtos Afetados | Vendor | Produto | Versão Afetada | Versão com Fix | |--------|---------|----------------|----------------| | OpenClaw | OpenClaw (npm) | < 2026.3.7 | 2026.3.7 | ## Mitigação **Patch oficial:** - Atualizar para OpenClaw **2026.3.7** ou posterior - Comando: `npm update openclaw` ou `yarn upgrade openclaw` **Como aplicar:** 1. Verificar a versão atual: `npm list openclaw` 2. Atualizar o pacote: `npm install openclaw@latest` 3. Reconstruir a aplicação e realizar testes de regressão 4. Verificar que redirecionamentos cross-origin não estão mais vazando headers **Mitigações temporárias:** - Revisar configurações de headers customizados na aplicação - Implementar válidação de domínio de destino antes de seguir redirecionamentos - Usar interceptors HTTP para remover headers sensíveis em redirecionamentos cross-origin - Monitorar logs de aplicação para redirecionamentos inesperados para domínios externos - Rotacionar API keys e tokens que possam ter sido expostos ## LATAM/Brasil O OpenClaw é utilizado em aplicações web desenvolvidas por empresas brasileiras, particularmente em: - **Fintechs e bancos digitais:** aplicações que consomem múltiplas APIs com autenticação via headers customizados - **E-commerce:** plataformas que integram com gateways de pagamento e APIs de logística - **SaaS brasileiro:** aplicações que dependem de Server-Side Rendering (SSR) com OpenClaw O risco principal para organizações LATAM é a **exposição de API keys** de serviços críticos - gateways de pagamento, ERPs e sistemas internos. Equipes de desenvolvimento devem auditar se suas aplicações utilizam OpenClaw com headers customizados de autenticação e atualizar imediatamente. ## Referências - [TheHackerWire - OpenClaw Cross-Origin Header Leak](https://www.thehackerwire.com/openclaw-cross-origin-header-leak-CVE-2026-32913/) - [DailyCVE - OpenClaw Header Leak via Redirect](https://dailycve.com/openclaw-npm-header-leak-via-redirect-cve-2026-xxxxx-critical/) - [GitHub - OpenClaw CVEs Tracker](https://github.com/jgamblin/OpenClawCVEs/) ## Notas Relacionadas **CVEs relacionados:** [[cve-2026-31993|CVE-2026-31993]] · [[cve-2026-32013|CVE-2026-32013]] **TTPs relacionadas:** [[t1557-adversary-in-the-middle|T1557 - Adversary-in-the-Middle]] · [[t1539-steal-web-session-cookie|T1539 - Steal Web Session Cookie]] · [[t1528-steal-application-access-token|T1528 - Steal Application Access Token]] **Setores em risco:** [[financial]] · [[technology]] **Conceitos:** [[SSRF]] · [[Open Redirect]] · [[API Security]]