Версии подключаемого модуля шлюза OpenClaw до 2026.2.26 содержат уязвимость обхода пути, которая позволяет удаленным злоумышленникам обходить проверки аутентификации маршрута, манипулируя путями /api/channels с помощью закодированных последовательностей обхода точечных сегментов. Злоумышленники могут создавать альтернативные пути, используя закодированные шаблоны обхода, для доступа к защищенным маршрутам каналов плагинов, когда обработчики нормализуют входящий путь, обходя меры безопасности.
Показать оригинальное описание (EN)
OpenClaw gateway plugin versions prior to 2026.2.26 contain a path traversal vulnerability that allows remote attackers to bypass route authentication checks by manipulating /api/channels paths with encoded dot-segment traversal sequences. Attackers can craft alternate paths using encoded traversal patterns to access protected plugin channel routes when handlers normalize the incoming path, circumventing security controls.
Характеристики атаки
Последствия
Строка CVSS v4.0
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Openclaw Openclaw
cpe:2.3:a:openclaw:openclaw:*:*:*:*:*:node.js:*:*
|
— |
2026.2.6
|