База данных уязвимостей CVE

Версии плагина голосовых вызовов OpenClaw до 2026.2.3 содержат уязвимость неправильной аутентификации при проверке веб-перехватчика, которая позволяет удаленным злоумышленникам обходить проверку, предоставляя ненадежные пересылаемые заголовки. Злоумышленники могут подделать события веб-перехватчика, манипулируя …

Версии OpenClaw до 2026.2.12 используют сравнение строк с непостоянным временем для проверки токена перехвата, что позволяет злоумышленникам выводить токены посредством измерений времени. Удаленные злоумышленники, имеющие сетевой доступ к конечной точке …

Проверка списка разрешений OpenClaw exec-approvals проверяет токены argv перед расширением, но при выполнении используется реальное расширение оболочки, что позволяет безопасным контейнерам, таким как head, Tail или grep, читать произвольные локальные …

Версии OpenClaw до 2026.2.13 содержат уязвимость в API управления браузером, из-за которой он принимает предоставленные пользователем пути вывода для трассировки и загрузки файлов без постоянного ограничения записи во временные каталоги. …

Версии OpenClaw до 2026.2.12 не могут проверить параметр пути sessionFile, что позволяет клиентам шлюза, прошедшим проверку подлинности, записывать данные расшифровки в произвольные места в файловой системе хоста. Злоумышленники могут указать …

OpenClaw версии 2026.1.20 до 2026.2.1 содержит уязвимость в конечной точке Browser Relay (расширение должно быть установлено и включено) /cdp WebSocket, в которой не требуются токены аутентификации, что позволяет веб-сайтам подключаться …

Версии OpenClaw до 2026.2.14 содержат уязвимость обхода пути при зеркалировании навыков в песочнице (должна быть включена), которая использует необработанный параметр имени фронтмена навыка при копировании навыков в рабочую область песочницы. …

Версии OpenClaw 2026.1.5 до 2026.2.14 содержат уязвимость в шлюзе, из-за которой он недостаточно ограничивает настроенные пути модулей-перехватчиков перед передачей их в динамический импорт(), что позволяет выполнять код. Злоумышленник, имеющий доступ …

Версии OpenClaw до 2026.2.2 не проверяют секреты веб-перехватчика в режиме веб-перехватчика Telegram (должен быть включен), что позволяет отправлять неаутентифицированные запросы HTTP POST к конечной точке веб-перехватчика, которые доверяют полезным данным …

Версии OpenClaw до 2026.2.14 не проверяют пути к записям архива TAR во время извлечения, что позволяет последовательностям обхода путей записывать файлы за пределы предполагаемого каталога. Злоумышленники могут создавать вредоносные архивы …