OpenClaw до 2026.3.11 содержит уязвимость выхода из изолированной программной среды сеанса в инструменте session_status, которая позволяет изолированным субагентам получать доступ к состоянию родительского или родственного сеанса. Злоумышленники могут предоставлять произвольные значения sessionKey для чтения или изменения данных сеанса за пределами своей изолированной программной среды, включая переопределения сохраняемых моделей.
Показать оригинальное описание (EN)
OpenClaw before 2026.3.11 contains a session sandbox escape vulnerability in the session_status tool that allows sandboxed subagents to access parent or sibling session state. Attackers can supply arbitrary sessionKey values to read or modify session data outside their sandbox scope, including persisted model overrides.
Характеристики атаки
Последствия
Строка CVSS v4.0
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Openclaw Openclaw
cpe:2.3:a:openclaw:openclaw:*:*:*:*:*:node.js:*:*
|
— |
2026.3.11
|