Версии OpenClaw до 2026.2.22 не обеспечивают последовательное соблюдение настроенных ограничений в байтах входящего мультимедиа перед буферизацией удаленных мультимедиа по нескольким путям приема данных. Удаленные злоумышленники могут отправлять слишком большие полезные данные мультимедиа, что приводит к повышенному использованию памяти и потенциальной нестабильности процесса.
Показать оригинальное описание (EN)
OpenClaw versions prior to 2026.2.22 fail to consistently enforce configured inbound media byte limits before buffering remote media across multiple channel ingestion paths. Remote attackers can send oversized media payloads to trigger elevated memory usage and potential process instability.
Характеристики атаки
Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Условия для атаки
Не требуются
Нет дополнительных условий
Нужны права
Не требуются
Права не нужны
Участие пользователя
Не требуется
Не нужно действие пользователя
Последствия
Конфиденциальность
Нет
Нет утечки данных
Целостность
Нет
Нет модификации данных
Доступность
Высокое
Полный отказ в обслуживании
Строка CVSS v4.0
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Openclaw Openclaw
cpe:2.3:a:openclaw:openclaw:*:*:*:*:*:node.js:*:*
|
— |
2026.2.22
|
Ссылки 3
https://github.com/openclaw/openclaw/commit/73d93dee64127a26f1acd09d0403b794cde…
disclosure@vulncheck.com
https://github.com/openclaw/openclaw/security/advisories/GHSA-rxxp-482v-7mrh
disclosure@vulncheck.com
https://www.vulncheck.com/advisories/openclaw-denial-of-service-via-inbound-med…
disclosure@vulncheck.com