Версии OpenClaw до 2026.2.12 содержат уязвимость в обработчике веб-перехватчика BlueBubbles (дополнительный плагин), в которой он аутентифицирует запросы исключительно на основе удаленного адреса обратной связи без проверки заголовков пересылки, что позволяет обходить настроенные пароли веб-перехватчика. Когда шлюз работает за обратным прокси-сервером, не прошедшие проверку подлинности удаленные злоумышленники могут внедрить произвольное сообщение BlueBubbles и события реакции, достигнув конечной точки прокси.
Показать оригинальное описание (EN)
OpenClaw versions prior to 2026.2.12 contain a vulnerability in the BlueBubbles (optional plugin) webhook handler in which it authenticates requests based solely on loopback remoteAddress without validating forwarding headers, allowing bypass of configured webhook passwords. When the gateway operates behind a reverse proxy, unauthenticated remote attackers can inject arbitrary BlueBubbles message and reaction events by reaching the proxy endpoint.
Характеристики атаки
Последствия
Строка CVSS v4.0