Версии OpenClaw до 2026.2.26 содержат уязвимость обхода авторизации в управлении доступом к хранилищу сопряжений для политики прямого сопряжения сообщений, которая позволяет злоумышленникам повторно использовать утверждения сопряжения для нескольких учетных записей. Злоумышленник, утвержденный в качестве отправителя в одной учетной записи, может быть автоматически принят в другую учетную запись при развертывании с несколькими учетными записями без явного одобрения, минуя границы авторизации.
Показать оригинальное описание (EN)
OpenClaw versions prior to 2026.2.26 contains an authorization bypass vulnerability in the pairing-store access control for direct message pairing policy that allows attackers to reuse pairing approvals across multiple accounts. An attacker approved as a sender in one account can be automatically accepted in another account in multi-account deployments without explicit approval, bypassing authorization boundaries.
Характеристики атаки
Последствия
Строка CVSS v4.0
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Openclaw Openclaw
cpe:2.3:a:openclaw:openclaw:*:*:*:*:*:node.js:*:*
|
— |
2026.2.26
|