OpenClaw before 2026.4.5 contains a server-side request forgery vulnerability in the CDP /json/version WebSocket endpoint that allows attackers to pivot to untrusted second-hop targets. The webSocketDebuggerUrl response field is not properly validated, enabling attackers to redirect connections to arbitrary hosts and perform SSRF-style attacks.
OpenClaw before version 2026.4.5 contains a server-side request forgery (SSRF) vulnerability in its CDP WebSocket endpoint that allows attackers to redirect connections to arbitrary hosts. The vulnerability exists due to improper validation of the webSocketDebuggerUrl response field, enabling pivot attacks to untrusted targets.
تؤثر هذه الثغرة على نقطة نهاية /json/version في بروتوكول Chrome DevTools Protocol (CDP) حيث يمكن للمهاجمين استغلال عدم التحقق من صحة حقل webSocketDebuggerUrl. يمكن للمهاجمين استخدام هذه الثغرة للقيام بهجمات SSRF متقدمة والوصول إلى الموارد الداخلية أو الخوادم غير الموثوقة.
OpenClaw قبل الإصدار 2026.4.5 يحتوي على ثغرة طلب من جانب الخادم (SSRF) في نقطة نهاية CDP WebSocket الخاصة به. تسمح الثغرة للمهاجمين بإعادة توجيه الاتصالات إلى مضيفين تعسفيين بسبب عدم التحقق الصحيح من حقل webSocketDebuggerUrl.
Upgrade OpenClaw to version 2026.4.5 or later immediately. Implement network segmentation to restrict outbound connections from systems running OpenClaw. Deploy Web Application Firewall (WAF) rules to monitor and block suspicious WebSocket traffic patterns. Validate and sanitize all webSocketDebuggerUrl responses before processing. Implement strict allowlisting of permitted target hosts.
قم بترقية OpenClaw إلى الإصدار 2026.4.5 أو أحدث فوراً. طبق تقسيم الشبكة لتقييد الاتصالات الصادرة من الأنظمة التي تعمل بـ OpenClaw. نشر قواعد جدار الحماية لمراقبة وحظر أنماط حركة WebSocket المريبة. تحقق من صحة جميع استجابات webSocketDebuggerUrl قبل معالجتها. طبق قائمة بيضاء صارمة للمضيفين المسموح بهم.