OpenClaw версий 2026.2.21-2 до 2026.2.22 и @openclaw/voice-call версий 2026.2.21 до 2026.2.22 принимают обновления WebSocket медиапотока перед проверкой потока, что позволяет неаутентифицированным клиентам устанавливать соединения. Удаленные злоумышленники могут держать открытыми незадействованные сокеты с предварительной аутентификацией, потребляя ресурсы соединения и снижая доступность услуг для законных потоков.
Показать оригинальное описание (EN)
OpenClaw versions2026.2.21-2 prior to 2026.2.22 and @openclaw/voice-call versions 2026.2.21 prior to 2026.2.22 accept media-stream WebSocket upgrades before stream validation, allowing unauthenticated clients to establish connections. Remote attackers can hold idle pre-authenticated sockets open to consume connection resources and degrade service availability for legitimate streams.
Характеристики атаки
Последствия
Строка CVSS v4.0
Тип уязвимости (CWE)
Уязвимые продукты 2
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Openclaw Openclaw
cpe:2.3:a:openclaw:openclaw:*:*:*:*:*:node.js:*:*
|
— |
2026.2.22
|
|
Openclaw Openclaw\/Voice-Call
cpe:2.3:a:openclaw:openclaw\/voice-call:*:*:*:*:*:node.js:*:*
|
— |
2026.2.22
|