Версии OpenClaw до 2026.2.22 с дополнительным плагином BlueBubbles содержат уязвимость обхода контроля доступа, из-за которой пустая конфигурацияallowFrom приводит к неэффективности сопряжения dmPolicy и ограничений белого списка. Удаленные злоумышленники могут отправлять прямые сообщения учетным записям BlueBubbles, используя неправильно настроенную логику проверки белого списка для обхода запланированных проверок авторизации отправителя.
Показать оригинальное описание (EN)
OpenClaw versions prior to 2026.2.22 with the optional BlueBubbles plugin contain an access control bypass vulnerability where empty allowFrom configuration causes dmPolicy pairing and allowlist restrictions to be ineffective. Remote attackers can send direct messages to BlueBubbles accounts by exploiting the misconfigured allowlist validation logic to bypass intended sender authorization checks.
Характеристики атаки
Последствия
Строка CVSS v4.0
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Openclaw Openclaw
cpe:2.3:a:openclaw:openclaw:*:*:*:*:*:node.js:*:*
|
— |
2026.2.22
|