Версии OpenClaw до 2026.3.1 не могут должным образом обрабатывать ошибки начальной загрузки аутентификации во время запуска, что позволяет маршрутам управления браузером оставаться доступными без аутентификации. Локальные процессы или пути SSRF с возможностью обратной связи могут использовать это для доступа к маршрутам управления браузером, включая действия с возможностью оценки, без действительных учетных данных.
Показать оригинальное описание (EN)
OpenClaw versions prior to 2026.3.1 fail to properly handle authentication bootstrap errors during startup, allowing browser-control routes to remain accessible without authentication. Local processes or loopback-reachable SSRF paths can exploit this to access browser-control routes including evaluate-capable actions without valid credentials.
Характеристики атаки
Последствия
Строка CVSS v4.0
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Openclaw Openclaw
cpe:2.3:a:openclaw:openclaw:*:*:*:*:*:node.js:*:*
|
— |
2026.3.1
|