Версии OpenClaw до 2026.2.22 повторно используют шлюз.auth.token в качестве резервного хеш-секрета для запутывания запроса идентификатора владельца, когда для параметра messages.ownerDisplay установлено значение хэша, а для параметра Commands.ownerDisplaySecret не задано значение, что создает двойное использование секретов аутентификации в доменах безопасности. Злоумышленники, имеющие доступ к системным запросам, отправленным сторонним поставщикам моделей, могут получить токен аутентификации шлюза из выходных хеш-функций, ставя под угрозу безопасность аутентификации шлюза.
Показать оригинальное описание (EN)
OpenClaw versions prior to 2026.2.22 reuse gateway.auth.token as a fallback hash secret for owner-ID prompt obfuscation when commands.ownerDisplay is set to hash and commands.ownerDisplaySecret is unset, creating dual-use of authentication secrets across security domains. Attackers with access to system prompts sent to third-party model providers can derive the gateway authentication token from the hash outputs, compromising gateway authentication security.
Характеристики атаки
Последствия
Строка CVSS v4.0
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Openclaw Openclaw
cpe:2.3:a:openclaw:openclaw:*:*:*:*:*:node.js:*:*
|
— |
2026.2.22
|