OpenClaw до версии 2026.3.13 считывает и буферизует тела запросов веб-перехватчика Telegram перед проверкой заголовка x-telegram-bot-api-secret-token, что позволяет неаутентифицированным злоумышленникам истощать ресурсы сервера. Злоумышленники могут отправлять POST-запросы к конечной точке веб-перехватчика, чтобы принудительно использовать память, время сокета и анализ JSON до того, как произойдет проверка аутентификации.
Показать оригинальное описание (EN)
OpenClaw before 2026.3.13 reads and buffers Telegram webhook request bodies before validating the x-telegram-bot-api-secret-token header, allowing unauthenticated attackers to exhaust server resources. Attackers can send POST requests to the webhook endpoint to force memory consumption, socket time, and JSON parsing work before authentication validation occurs.
Характеристики атаки
Последствия
Строка CVSS v4.0
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Openclaw Openclaw
cpe:2.3:a:openclaw:openclaw:*:*:*:*:*:node.js:*:*
|
— |
2026.3.13
|