OpenClaw до 2026.3.28 содержит отсутствующую уязвимость, ограничивающую скорость аутентификации веб-перехватчика Nextcloud Talk, которая позволяет злоумышленникам перебирать слабые общие секреты. Злоумышленники, которые могут достичь конечной точки веб-перехватчика, могут использовать это для подделки входящих событий веб-перехватчика, неоднократно пытаясь пройти аутентификацию без регулирования.
Показать оригинальное описание (EN)
OpenClaw before 2026.3.28 contains a missing rate limiting vulnerability in the Nextcloud Talk webhook authentication that allows attackers to brute-force weak shared secrets. Attackers who can reach the webhook endpoint can exploit this to forge inbound webhook events by repeatedly attempting authentication without throttling.
Характеристики атаки
Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Условия для атаки
Требуются
Нужны дополнительные условия
Нужны права
Не требуются
Права не нужны
Участие пользователя
Не требуется
Не нужно действие пользователя
Последствия
Конфиденциальность
Низкое
Частичная утечка данных
Целостность
Низкое
Частичная модификация данных
Доступность
Нет
Нет нарушения работы
Строка CVSS v4.0
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Openclaw Openclaw
cpe:2.3:a:openclaw:openclaw:*:*:*:*:*:node.js:*:*
|
— |
2026.3.28
|
Ссылки 3
https://github.com/openclaw/openclaw/security/advisories/GHSA-9528-x887-j2fp
GitHub Security Advisory (GHSA-9528-x887-j2fp)
https://github.com/openclaw/openclaw/commit/e403decb6e20091b5402780a7ccd2085f98…
Patch Commit
https://www.vulncheck.com/advisories/openclaw-brute-force-attack-via-missing-ra…
VulnCheck Advisory: OpenClaw < 2026.3.28 - Brute Force Attack via Missing Rate Limiting on Webhook Shared Secret Authentication