Версии OpenClaw до 2026.2.14 содержат обход проверки подписи веб-перехватчика в расширении голосовых вызовов, который разрешает запросы без проверки подлинности, когда параметртуннель.allowNgrokFreeTierLoopbackBypass явно включен. Внешний злоумышленник может отправлять поддельные запросы к общедоступной конечной точке веб-перехватчика без действительного заголовка X-Twilio-Signature, что приводит к несанкционированной обработке событий веб-перехватчика и потенциальным атакам с лавинной пересылкой запросов.
Показать оригинальное описание (EN)
OpenClaw versions prior to 2026.2.14 contain a webhook signature-verification bypass in the voice-call extension that allows unauthenticated requests when the tunnel.allowNgrokFreeTierLoopbackBypass option is explicitly enabled. An external attacker can send forged requests to the publicly reachable webhook endpoint without a valid X-Twilio-Signature header, resulting in unauthorized webhook event handling and potential request flooding attacks.
Характеристики атаки
Последствия
Строка CVSS v4.0