OpenClaw до 2026.3.11 содержит уязвимость обхода авторизации, позволяющую командам канала изменять конфигурацию защищенной одноуровневой учетной записи, несмотря на ограничения configWrites. Злоумышленники с авторизованным доступом к одной учетной записи могут выполнять команды канала, такие как /config setchannels.<provider>.accounts.<id>, чтобы изменить конфигурацию целевых учетных записей с помощью configWrites: false.
Показать оригинальное описание (EN)
OpenClaw before 2026.3.11 contains an authorization bypass vulnerability allowing channel commands to mutate protected sibling-account configuration despite configWrites restrictions. Attackers with authorized access on one account can execute channel commands like /config set channels.<provider>.accounts.<id> to modify configuration on target accounts with configWrites: false.
Характеристики атаки
Последствия
Строка CVSS v4.0
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Openclaw Openclaw
cpe:2.3:a:openclaw:openclaw:*:*:*:*:*:node.js:*:*
|
— |
2026.3.11
|