OpenClaw до 2026.3.11 содержит уязвимость возврата учетных данных, при которой недоступные локальные секретные ссылки шлюза.auth.token и шлюз.auth.password считаются неустановленными, что позволяет вернуться к удаленным учетным данным в локальном режиме. Злоумышленники могут использовать неправильно настроенные ссылки локальной аутентификации, чтобы заставить CLI и вспомогательные пути выбирать неправильные источники учетных данных, потенциально обходя предполагаемые границы локальной аутентификации.
Показать оригинальное описание (EN)
OpenClaw before 2026.3.11 contains a credential fallback vulnerability where unavailable local gateway.auth.token and gateway.auth.password SecretRefs are treated as unset, allowing fallback to remote credentials in local mode. Attackers can exploit misconfigured local auth references to cause CLI and helper paths to select incorrect credential sources, potentially bypassing intended local authentication boundaries.
Характеристики атаки
Последствия
Строка CVSS v4.0
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Openclaw Openclaw
cpe:2.3:a:openclaw:openclaw:*:*:*:*:*:node.js:*:*
|
— |
2026.3.11
|