Версии OpenClaw до 2026.2.1 с установленным и включенным расширением голосовых вызовов содержат уязвимость обхода аутентификации при проверке политики входящего списка разрешенных вызовов, которая принимает пустые идентификаторы вызывающих абонентов и использует сопоставление на основе суффиксов вместо строгого равенства. Удаленные злоумышленники могут обойти контроль входящего доступа, совершая вызовы с отсутствующими идентификаторами вызывающих абонентов или номерами, оканчивающимися цифрами из разрешенного списка, чтобы связаться с агентом голосовых вызовов и выполнить инструменты.
Показать оригинальное описание (EN)
OpenClaw versions prior to 2026.2.1 with the voice-call extension installed and enabled contain an authentication bypass vulnerability in inbound allowlist policy validation that accepts empty caller IDs and uses suffix-based matching instead of strict equality. Remote attackers can bypass inbound access controls by placing calls with missing caller IDs or numbers ending with allowlisted digits to reach the voice-call agent and execute tools.
Характеристики атаки
Последствия
Строка CVSS v4.0