Версии OpenClaw до 2026.2.13 содержат уязвимость типа «отказ в обслуживании» в обработчиках веб-перехватчиков, которые буферизуют тела запросов без строгих ограничений по байтам или времени. Удаленные злоумышленники, не прошедшие проверку подлинности, могут отправлять слишком большие полезные данные JSON или замедлять загрузку на конечные точки веб-перехватчика, что приводит к нехватке памяти и снижению доступности.
Показать оригинальное описание (EN)
OpenClaw versions prior to 2026.2.13 contain a denial of service vulnerability in webhook handlers that buffer request bodies without strict byte or time limits. Remote unauthenticated attackers can send oversized JSON payloads or slow uploads to webhook endpoints causing memory pressure and availability degradation.
Характеристики атаки
Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Условия для атаки
Не требуются
Нет дополнительных условий
Нужны права
Не требуются
Права не нужны
Участие пользователя
Не требуется
Не нужно действие пользователя
Последствия
Конфиденциальность
Нет
Нет утечки данных
Целостность
Нет
Нет модификации данных
Доступность
Высокое
Полный отказ в обслуживании
Строка CVSS v4.0
Тип уязвимости (CWE)
Ссылки 3
https://github.com/openclaw/openclaw/commit/3cbcba10cf30c2ffb898f0d8c7dfb929f15…
disclosure@vulncheck.com
https://github.com/openclaw/openclaw/security/advisories/GHSA-q447-rj3r-2cgh
disclosure@vulncheck.com
https://www.vulncheck.com/advisories/openclaw-denial-of-service-via-unbounded-w…
disclosure@vulncheck.com