Версии плагина голосовых вызовов OpenClaw до 2026.2.3 содержат уязвимость неправильной аутентификации при проверке веб-перехватчика, которая позволяет удаленным злоумышленникам обходить проверку, предоставляя ненадежные пересылаемые заголовки. Злоумышленники могут подделать события веб-перехватчика, манипулируя заголовками Forwarded или X-Forwarded-* в конфигурациях обратного прокси-сервера, которые неявно доверяют этим заголовкам.
Показать оригинальное описание (EN)
OpenClaw's voice-call plugin versions before 2026.2.3 contain an improper authentication vulnerability in webhook verification that allows remote attackers to bypass verification by supplying untrusted forwarded headers. Attackers can spoof webhook events by manipulating Forwarded or X-Forwarded-* headers in reverse-proxy configurations that implicitly trust these headers.
Характеристики атаки
Последствия
Строка CVSS v4.0