База данных уязвимостей CVE

Версии OpenClaw до 2026.2.21 содержат уязвимость неправильной проверки схемы URL-адресов в функции AssertBrowserNavigationAllowed(), которая позволяет аутентифицированным пользователям с доступом к инструментам браузера переходить по URL-адресам file://. Злоумышленники могут воспользоваться этим, …

Версии OpenClaw до 2026.2.23 содержат уязвимость обхода пути в экспериментальном инструменте apply_patch, которая позволяет злоумышленникам с доступом к песочнице изменять файлы за пределами каталога рабочей области, используя непоследовательное применение проверок …

Версии OpenClaw до 2026.2.26 содержат уязвимость обхода авторизации, из-за которой идентификаторы хранилища сопряжений DM неправильно обрабатываются как идентификаторы списка разрешенных групп, когда dmPolicy=pairing и groupPolicy=allowlist. Удаленные злоумышленники могут отправлять сообщения …

Версии OpenClaw до 2026.2.25 не обеспечивают проверку авторизации отправителя для интерактивных обратных вызовов, включая block_action, view_submission и view_closed в развертываниях общей рабочей области. Неавторизованные участники рабочей области могут обходить ограниченияallowFrom …

Версии OpenClaw до 2026.3.2 содержат уязвимость обхода аутентификации в классификации маршрутов /api/channels из-за несоответствия глубины канонизации между классификацией пути аутентификации и канонизацией пути маршрута. Злоумышленники могут обойти проверки аутентификации маршрута …

Версии OpenClaw до 2026.2.22 содержат уязвимость внедрения переменных среды в функцию system.run, которая позволяет злоумышленникам обходить ограничения списка разрешенных команд через переменные среды SHELLOPTS и PS4. Злоумышленник, который может вызвать …

Версии OpenClaw до 2026.2.23 содержат уязвимость для обхода песочницы в инструменте создания изображений в песочнице, которая не обеспечивает соблюдение ограничений tools.fs.workspaceOnly для подключенных путей к песочнице, что позволяет злоумышленникам читать …

Версии OpenClaw до 2026.2.22 содержат уязвимость обхода аутентификации, которая позволяет клиентам, прошедшим аутентификацию с помощью токена общего шлюза, подключаться как role=node без проверки личности устройства. Злоумышленники могут воспользоваться этим, заявив …

OpenWrt Project — это операционная система Linux, предназначенная для встраиваемых устройств. В версиях до 24.10.6 и 25.12.1 функция jp_get_token, которая выполняет лексический анализ путем разбиения входных выражений на токены, содержит …

OpenWrt Project — это операционная система Linux, предназначенная для встраиваемых устройств. В версиях до 24.10.6 и 25.12.1 демон mdns имеет уязвимость переполнения буфера на основе стека в функции match_ipv6_addresses, которая …