Версии OpenClaw до 2026.2.26 содержат уязвимость обхода авторизации, из-за которой политика белого списка группы Signal неправильно принимает идентификаторы отправителей из утверждений магазина сопряжения DM. Злоумышленники могут воспользоваться этой слабостью границ, получив одобрение на сопряжение DM, чтобы обойти проверки списков разрешенных групп и получить несанкционированный доступ к группе.
Показать оригинальное описание (EN)
OpenClaw versions prior to 2026.2.26 contain an authorization bypass vulnerability where Signal group allowlist policy incorrectly accepts sender identities from DM pairing-store approvals. Attackers can exploit this boundary weakness by obtaining DM pairing approval to bypass group allowlist checks and gain unauthorized group access.
Характеристики атаки
Способ атаки
По сети
Атака возможна удалённо
Сложность
Высокая
Сложно эксплуатировать
Условия для атаки
Не требуются
Нет дополнительных условий
Нужны права
Низкие
Нужны базовые права
Участие пользователя
Активное
Нужно действие пользователя
Последствия
Конфиденциальность
Низкое
Частичная утечка данных
Целостность
Низкое
Частичная модификация данных
Доступность
Нет
Нет нарушения работы
Строка CVSS v4.0
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Openclaw Openclaw
cpe:2.3:a:openclaw:openclaw:*:*:*:*:*:node.js:*:*
|
— |
2026.2.26
|
Ссылки 4
https://github.com/openclaw/openclaw/commit/64de4b6d6ae81e269ceb4ca16f53cda99ce…
disclosure@vulncheck.com
https://github.com/openclaw/openclaw/commit/8bdda7a651c21e98faccdbbd73081e79cff…
disclosure@vulncheck.com
https://github.com/openclaw/openclaw/security/advisories/GHSA-wm8r-w8pf-2v6w
disclosure@vulncheck.com
https://www.vulncheck.com/advisories/openclaw-authorization-bypass-via-dm-pairi…
disclosure@vulncheck.com