Версии OpenClaw до 2026.2.14 содержат уязвимости подделки запросов на стороне сервера в расширении Feishu, которые позволяют злоумышленникам получать контролируемые злоумышленниками удаленные URL-адреса без защиты SSRF с помощью функции sendMediaFeishu и обработки изображений уценки. Злоумышленники могут влиять на вызовы инструментов посредством прямых манипуляций или внедрения подсказок, чтобы инициировать запросы к внутренним службам и повторно загружать ответы в качестве носителя Feishu.
Показать оригинальное описание (EN)
OpenClaw versions prior to 2026.2.14 contain server-side request forgery vulnerabilities in the Feishu extension that allow attackers to fetch attacker-controlled remote URLs without SSRF protections via sendMediaFeishu function and markdown image processing. Attackers can influence tool calls through direct manipulation or prompt injection to trigger requests to internal services and re-upload responses as Feishu media.
Характеристики атаки
Последствия
Строка CVSS v4.0