OpenClaw версий 2026.1.5 до 2026.2.12 не обеспечивает обязательную аутентификацию на HTTP-маршруте /agent/act браузерного управления, что позволяет неавторизованным локальным вызывающим абонентам вызывать привилегированные операции. Удаленные злоумышленники в локальной сети или локальных процессах могут выполнять произвольные действия в контексте браузера и получать доступ к конфиденциальным данным сеанса, отправляя запросы к неаутентифицированным конечным точкам.
Показать оригинальное описание (EN)
OpenClaw versions 2026.1.5 prior to 2026.2.12 fail to enforce mandatory authentication on the /agent/act browser-control HTTP route, allowing unauthorized local callers to invoke privileged operations. Remote attackers on the local network or local processes can execute arbitrary browser-context actions and access sensitive in-session data by sending requests to unauthenticated endpoints.
Характеристики атаки
Последствия
Строка CVSS v4.0