База данных уязвимостей CVE

Версии OpenClaw до 2026.2.23 содержат уязвимость обхода белого списка в ограничениях system.run, которая позволяет аутентифицированным операторам выполнять непредусмотренные команды. Если /usr/bin/env внесен в список разрешенных, злоумышленники могут использовать env -S …

Версии OpenClaw до 2026.2.26 содержат уязвимость обхода авторизации, из-за которой политика белого списка группы Signal неправильно принимает идентификаторы отправителей из утверждений магазина сопряжения DM. Злоумышленники могут воспользоваться этой слабостью границ, …

Версии OpenClaw до 2026.3.2 содержат уязвимость в функции stageSandboxMedia, из-за которой ей не удается проверить целевые символические ссылки во время промежуточной загрузки мультимедиа, что позволяет записи следовать по символическим ссылкам …

Версии OpenClaw до 2026.3.1 содержат уязвимость подделки запросов на стороне сервера в разрешении перенаправления цитирования web_search, которое использует политику SSRF, разрешающую частную сеть. Злоумышленник, который может повлиять на цели перенаправления …

OpenClaw 2026.3.1 содержит уязвимость целостности утверждения при выполнении node-host system.run, из-за которой перезапись argv меняет семантику команд. Злоумышленники могут разместить вредоносные локальные сценарии в рабочем каталоге для выполнения непреднамеренного кода, …

Версии OpenClaw до 2026.2.22 содержат уязвимость обхода авторизации в постоянном разрешении оболочки, которая позволяет злоумышленникам обходить проверки одобрения, сохраняя записи белого списка на уровне оболочки вместо проверки внутреннего исполняемого намерения. …

Версии OpenClaw до 2026.3.1 содержат уязвимость неограниченного роста памяти в конечной точке веб-перехватчика Zalo, которая позволяет неаутентифицированным злоумышленникам запускать накопление ключей в памяти путем изменения строк запроса. Удаленные злоумышленники могут …

Версии OpenClaw до 2026.2.22 содержат уязвимость обхода белого списка в system.run, которая позволяет злоумышленникам выполнять команды, не включенные в белый список, путем разделения подстановки команд с помощью символов продолжения строки …

В версиях OpenClaw до 2026.2.25 отсутствует устойчивое состояние воспроизведения для событий веб-перехватчика Nextcloud Talk, что позволяет воспроизводить действительные подписанные запросы веб-перехватчика без подавления. Злоумышленники могут перехватить и воспроизвести ранее действительные …

Версии OpenClaw до 2026.3.2 содержат уязвимость состояния гонки при извлечении ZIP, которая позволяет локальным злоумышленникам записывать файлы за пределы предполагаемого каталога назначения. Злоумышленники могут воспользоваться гонкой «время проверки — время …