OpenClaw до 2026.3.13 содержит уязвимость раскрытия информации в функции fetchRemoteMedia, которая раскрывает токены бота Telegram в сообщениях об ошибках. При сбое загрузки мультимедиа исходные URL-адреса файлов Telegram, содержащие токены бота, внедряются в строки MediaFetchError и попадают в журналы и на поверхности ошибок.
Показать оригинальное описание (EN)
OpenClaw before 2026.3.13 contains an information disclosure vulnerability in the fetchRemoteMedia function that exposes Telegram bot tokens in error messages. When media downloads fail, the original Telegram file URLs containing bot tokens are embedded in MediaFetchError strings and leaked to logs and error surfaces.
Характеристики атаки
Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Условия для атаки
Не требуются
Нет дополнительных условий
Нужны права
Не требуются
Права не нужны
Участие пользователя
Не требуется
Не нужно действие пользователя
Последствия
Конфиденциальность
Высокое
Полная утечка данных
Целостность
Нет
Нет модификации данных
Доступность
Нет
Нет нарушения работы
Строка CVSS v4.0
Тип уязвимости (CWE)
Ссылки 3
https://github.com/openclaw/openclaw/commit/7a53eb7ea8295b08be137e231c9a98c1a79…
disclosure@vulncheck.com
https://github.com/openclaw/openclaw/security/advisories/GHSA-xwcj-hwhf-h378
disclosure@vulncheck.com
https://www.vulncheck.com/advisories/openclaw-telegram-bot-token-exposure-in-me…
disclosure@vulncheck.com