OpenClaw версии 2026.1.14-1 до 2026.2.2 с установленным и включенным плагином Matrix содержит уязвимость, из-за которой сопоставление белого списка DM можно обойти путем точного сопоставления отображаемых имен отправителя и локальных частей без проверки домашнего сервера. Пользователи Remote Matrix могут выдавать себя за разрешенные идентификаторы, используя отображаемые имена, контролируемые злоумышленником, или сопоставляя локальные части с разных домашних серверов, чтобы достичь конвейера маршрутизации и агентов.
Показать оригинальное описание (EN)
OpenClaw version 2026.1.14-1 prior to 2026.2.2, with the Matrix plugin installed and enabled, contain a vulnerability in which DM allowlist matching could be bypassed by exact-matching against sender display names and localparts without homeserver validation. Remote Matrix users can impersonate allowed identities by using attacker-controlled display names or matching localparts from different homeservers to reach the routing and agent pipeline.
Характеристики атаки
Последствия
Строка CVSS v4.0