Версии OpenClaw до 2026.2.21. Обработчик веб-перехватчика BlueBubbles содержит запасной путь аутентификации без пароля, который разрешает неаутентифицированные события веб-перехватчика в определенных конфигурациях обратного прокси-сервера или локальной маршрутизации. Злоумышленники могут обойти аутентификацию веб-перехватчика, используя эвристику обратной связи/прокси-сервера для отправки неаутентифицированных событий веб-перехватчика в плагин BlueBubbles.
Показать оригинальное описание (EN)
OpenClaw versions prior to 2026.2.21 BlueBubbles webhook handler contains a passwordless fallback authentication path that allows unauthenticated webhook events in certain reverse-proxy or local routing configurations. Attackers can bypass webhook authentication by exploiting the loopback/proxy heuristics to send unauthenticated webhook events to the BlueBubbles plugin.
Характеристики атаки
Последствия
Строка CVSS v4.0
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Openclaw Openclaw
cpe:2.3:a:openclaw:openclaw:*:*:*:*:*:node.js:*:*
|
— |
2026.2.21
|