Версии OpenClaw до 2026.2.22 содержат уязвимость обхода авторизации в реализации списка разрешений FeishuallowFrom, которая принимает изменяемые отображаемые имена отправителей вместо принудительного сопоставления только идентификаторов. Злоумышленник может установить отображаемое имя, равное строке идентификатора из разрешенного списка, чтобы обойти проверки авторизации и получить несанкционированный доступ.
Показать оригинальное описание (EN)
OpenClaw versions prior to 2026.2.22 contain an authorization bypass vulnerability in the Feishu allowFrom allowlist implementation that accepts mutable sender display names instead of enforcing ID-only matching. An attacker can set a display name equal to an allowlisted ID string to bypass authorization checks and gain unauthorized access.
Характеристики атаки
Последствия
Строка CVSS v4.0
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Openclaw Openclaw
cpe:2.3:a:openclaw:openclaw:*:*:*:*:*:node.js:*:*
|
— |
2026.2.22
|