Версии OpenClaw до 2026.2.25 содержат уязвимость контроля доступа при обработке уведомлений о реакции на сигнал, которая позволяет неавторизованным отправителям ставить в очередь события состояния до применения проверок авторизации. Злоумышленники могут использовать путь событий только для реакции в event-handler.ts, чтобы поставить в очередь строки состояния реакции для сеансов без надлежащей проверки DM или группового доступа.
Показать оригинальное описание (EN)
OpenClaw versions prior to 2026.2.25 contain an access control vulnerability in signal reaction notification handling that allows unauthorized senders to enqueue status events before authorization checks are applied. Attackers can exploit the reaction-only event path in event-handler.ts to queue signal reaction status lines for sessions without proper DM or group access validation.
Характеристики атаки
Последствия
Строка CVSS v4.0
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Openclaw Openclaw
cpe:2.3:a:openclaw:openclaw:*:*:*:*:*:node.js:*:*
|
— |
2026.2.25
|