Версии OpenClaw до 2026.2.21 неправильно анализируют значение крайнего левого заголовка X-Forwarded-For, когда запросы исходят от настроенных доверенных прокси, что позволяет злоумышленникам подделывать IP-адреса клиентов. В цепочках прокси, которые добавляют или сохраняют значения заголовков, злоумышленники могут внедрить вредоносное содержимое заголовка, чтобы повлиять на решения по безопасности, включая ограничение скорости аутентификации и контроль доступа на основе IP.
Показать оригинальное описание (EN)
OpenClaw versions prior to 2026.2.21 improperly parse the left-most X-Forwarded-For header value when requests originate from configured trusted proxies, allowing attackers to spoof client IP addresses. In proxy chains that append or preserve header values, attackers can inject malicious header content to influence security decisions including authentication rate-limiting and IP-based access controls.
Характеристики атаки
Последствия
Строка CVSS v4.0
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Openclaw Openclaw
cpe:2.3:a:openclaw:openclaw:*:*:*:*:*:node.js:*:*
|
— |
2026.2.21
|