Версии OpenClaw до 2026.2.26 содержат уязвимость обхода авторизации, из-за которой идентификаторы хранилища сопряжений DM неправильно обрабатываются как идентификаторы списка разрешенных групп, когда dmPolicy=pairing и groupPolicy=allowlist. Удаленные злоумышленники могут отправлять сообщения и реакции как удостоверения, связанные с DM, без явного членства в groupAllowFrom, чтобы обойти проверки авторизации отправителя группы.
Показать оригинальное описание (EN)
OpenClaw versions prior to 2026.2.26 contain an authorization bypass vulnerability where DM pairing-store identities are incorrectly treated as group allowlist identities when dmPolicy=pairing and groupPolicy=allowlist. Remote attackers can send messages and reactions as DM-paired identities without explicit groupAllowFrom membership to bypass group sender authorization checks.
Характеристики атаки
Последствия
Строка CVSS v4.0
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Openclaw Openclaw
cpe:2.3:a:openclaw:openclaw:*:*:*:*:*:node.js:*:*
|
— |
2026.2.26
|