Версии OpenClaw 2026.1.29-beta.1 до 2026.2.14 содержат уязвимость в сервере моста браузера песочницы, в которой он принимает запросы без необходимости аутентификации шлюза, что позволяет локальным злоумышленникам получить доступ к конечным точкам управления браузером. Локальный злоумышленник может перебирать вкладки, получать URL-адреса WebSocket, выполнять JavaScript и извлекать файлы cookie и данные сеансов из аутентифицированных контекстов браузера.
Показать оригинальное описание (EN)
OpenClaw versions 2026.1.29-beta.1 prior to 2026.2.14 contain a vulnerability in the sandbox browser bridge server in which it accepts requests without requiring gateway authentication, allowing local attackers to access browser control endpoints. A local attacker can enumerate tabs, retrieve WebSocket URLs, execute JavaScript, and exfiltrate cookies and session data from authenticated browser contexts.
Характеристики атаки
Последствия
Строка CVSS v4.0