База данных уязвимостей CVE

Версии OpenClaw до 2026.2.23 содержат уязвимость обхода авторизации в клиенте ACP, которая автоматически одобряет вызовы инструментов на основе ненадежных метаданныхtoolCall.kind и эвристики разрешительных имен. Злоумышленники могут обойти интерактивные запросы на …

Версии OpenClaw до 2026.2.22 повторно используют шлюз.auth.token в качестве резервного хеш-секрета для запутывания запроса идентификатора владельца, когда для параметра messages.ownerDisplay установлено значение хэша, а для параметра Commands.ownerDisplaySecret не задано значение, …

Версии OpenClaw до 2026.2.21. Обработчик веб-перехватчика BlueBubbles содержит запасной путь аутентификации без пароля, который разрешает неаутентифицированные события веб-перехватчика в определенных конфигурациях обратного прокси-сервера или локальной маршрутизации. Злоумышленники могут обойти аутентификацию …

Версии OpenClaw до 2026.2.26 не обеспечивают принудительной авторизации отправителя в обработчиках системных событий участников и подтипов сообщений, что позволяет ставить в очередь неавторизованные события. Злоумышленники могут обойти списки разрешений Slack …

Версии OpenClaw до 2026.2.26 содержат уязвимость обхода авторизации в управлении доступом к хранилищу сопряжений для политики прямого сопряжения сообщений, которая позволяет злоумышленникам повторно использовать утверждения сопряжения для нескольких учетных записей. …

Версии OpenClaw до 2026.2.25 содержат уязвимость обхода целостности утверждения в system.run, где визуализированный текст команды используется в качестве идентификатора утверждения при обрезке пробелов токена argv, но при выполнении во время …

Версии OpenClaw до версии 2026.2.21. Точка входа браузера песочницы запускает x11vnc без аутентификации для сеансов наблюдателя noVNC, что обеспечивает неаутентифицированный доступ к интерфейсу VNC. Удаленные злоумышленники на интерфейсе обратной связи …

Версии OpenClaw до 2026.2.26 содержат уязвимость привязки контекста утверждения в потоках выполнения system.run с хостом = узел, которая позволяет повторно использовать ранее утвержденные запросы с измененными переменными среды. Злоумышленники, имеющие …

Версии OpenClaw до 2026.2.25 содержат уязвимость обхода аутентификации в механизме сопряжения пользовательского интерфейса управления доверенным прокси-сервером, который принимает client.id=control-ui без надлежащей проверки личности устройства. Клиент веб-сокета с аутентифицированной ролью узла …

Версии OpenClaw до 2026.2.22 не могут очистить переменные среды запуска оболочки HOME и ZDOTDIR в функции system.run, что позволяет злоумышленникам обойти защиту списка разрешенных команд. Удаленные злоумышленники могут внедрить вредоносные …