Версии OpenClaw до 2026.2.14 содержат уязвимость маршрутизации веб-перехватчика в компоненте монитора Google Chat, которая позволяет неправильно маршрутизировать контекст политики между учетными записями, когда несколько целей веб-перехватчика используют один и тот же путь HTTP. Злоумышленники могут использовать семантику проверки запроса на первое совпадение для обработки входящих событий веб-перехватчика в неправильном контексте учетной записи, обходя предполагаемые списки разрешенных и политики сеансов.
Показать оригинальное описание (EN)
OpenClaw versions prior to 2026.2.14 contain a webhook routing vulnerability in the Google Chat monitor component that allows cross-account policy context misrouting when multiple webhook targets share the same HTTP path. Attackers can exploit first-match request verification semantics to process inbound webhook events under incorrect account contexts, bypassing intended allowlists and session policies.
Характеристики атаки
Последствия
Строка CVSS v4.0