Версии OpenClaw до 2026.2.23 содержат уязвимость в дедупликации событий веб-перехватчика Twilio, из-за которой нормализованные идентификаторы событий рандомизируются для каждого анализа, что позволяет событиям воспроизведения обходить проверки дедупликации менеджера. Злоумышленники могут воспроизвести события веб-перехватчика Twilio, чтобы инициировать повторяющиеся или устаревшие переходы состояний вызовов, что может привести к неправильной обработке вызовов и повреждению состояния.
Показать оригинальное описание (EN)
OpenClaw versions prior to 2026.2.23 contain a vulnerability in Twilio webhook event deduplication where normalized event IDs are randomized per parse, allowing replay events to bypass manager dedupe checks. Attackers can replay Twilio webhook events to trigger duplicate or stale call-state transitions, potentially causing incorrect call handling and state corruption.
Характеристики атаки
Последствия
Строка CVSS v4.0
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Openclaw Openclaw
cpe:2.3:a:openclaw:openclaw:*:*:*:*:*:node.js:*:*
|
— |
2026.2.23
|