OpenClaw версий 2026.3.7 до 2026.3.11 содержит уязвимость обхода авторизации, при которой маршруты субагента подключаемого модуля выполняют методы шлюза через клиент синтетического оператора с широкими административными возможностями. Удаленные неаутентифицированные запросы к маршрутам, принадлежащим плагину, могут вызывать методы runtime.subagent для выполнения действий привилегированного шлюза, включая удаление сеанса и выполнение агента.
Показать оригинальное описание (EN)
OpenClaw versions 2026.3.7 before 2026.3.11 contain an authorization bypass vulnerability where plugin subagent routes execute gateway methods through a synthetic operator client with broad administrative scopes. Remote unauthenticated requests to plugin-owned routes can invoke runtime.subagent methods to perform privileged gateway actions including session deletion and agent execution.
Характеристики атаки
Последствия
Строка CVSS v4.0