База данных уязвимостей CVE

OpenClaw до 2026.3.8 содержит уязвимость обхода белого списка отправителей в своем плагине Microsoft Teams, которая позволяет неавторизованным отправителям обходить запланированные проверки авторизации. Если список разрешенных маршрутов группы/канала настроен с пустым …

OpenClaw до 2026.3.12 применяет ограничение скорости только после успешной аутентификации веб-перехватчика, что позволяет злоумышленникам обходить ограничения скорости и перебирать секреты веб-перехватчика. Злоумышленники могут отправлять повторные запросы аутентификации с недействительными секретными …

OpenClaw до 2026.3.11 содержит уязвимость обхода границ песочницы при поэтапной записи fs-bridge, при которой создание и заполнение временных файлов не закрепляются в проверенном родительском каталоге. Злоумышленники могут использовать состояние гонки …

OpenClaw до 2026.3.13 содержит уязвимость раскрытия информации в функции fetchRemoteMedia, которая раскрывает токены бота Telegram в сообщениях об ошибках. При сбое загрузки мультимедиа исходные URL-адреса файлов Telegram, содержащие токены бота, …

OpenClaw до 2026.3.11 содержит уязвимость обхода границ песочницы на этапе фиксации fs-bridge writeFile, которая использует незакрепленный путь к контейнеру во время последней операции перемещения. Злоумышленник может воспользоваться состоянием гонки «время …

OpenClaw до 2026.3.11 содержит уязвимость обхода авторизации, позволяющую командам канала изменять конфигурацию защищенной одноуровневой учетной записи, несмотря на ограничения configWrites. Злоумышленники с авторизованным доступом к одной учетной записи могут выполнять …

OpenClaw до 2026.3.11 содержит уязвимость целостности утверждения в утверждениях node-host system.run, которая отображает извлеченные полезные данные оболочки вместо выполненного argv. Злоумышленники могут размещать двоичные файлы-оболочки и побуждать команды в форме …

OpenClaw до 2026.3.11 содержит уязвимость возврата учетных данных, при которой недоступные локальные секретные ссылки шлюза.auth.token и шлюз.auth.password считаются неустановленными, что позволяет вернуться к удаленным учетным данным в локальном режиме. Злоумышленники …

OpenClaw до 2026.3.8 содержит уязвимость обхода утверждения в system.run, из-за которой изменяемые операнды сценария не связаны между фазами утверждения и выполнения. Злоумышленники могут получить разрешение на выполнение сценария, изменить утвержденный …

OpenClaw до 2026.3.12 автоматически обнаруживает и загружает плагины из .OpenClaw/extensions/ без явной проверки доверия, что позволяет выполнять произвольный код. Злоумышленники могут выполнить вредоносный код, включив созданные плагины рабочей области в …