Версии OpenClaw до 2026.2.26 содержат уязвимость подмены метаданных, из-за которой поля Reconnect Platform и DeviceFamily принимаются от клиента без привязки к подписи аутентификации устройства. Злоумышленник с идентификатором парного узла в доверенной сети может подделать метаданные повторного подключения, чтобы обойти политики команд узла на основе платформы и получить доступ к ограниченным командам.
Показать оригинальное описание (EN)
OpenClaw versions prior to 2026.2.26 contain a metadata spoofing vulnerability where reconnect platform and deviceFamily fields are accepted from the client without being bound into the device-auth signature. An attacker with a paired node identity on the trusted network can spoof reconnect metadata to bypass platform-based node command policies and gain access to restricted commands.
Характеристики атаки
Последствия
Строка CVSS v4.0
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Openclaw Openclaw
cpe:2.3:a:openclaw:openclaw:*:*:*:*:*:node.js:*:*
|
— |
2026.2.26
|