OpenClaw до 2026.3.12 применяет ограничение скорости только после успешной аутентификации веб-перехватчика, что позволяет злоумышленникам обходить ограничения скорости и перебирать секреты веб-перехватчика. Злоумышленники могут отправлять повторные запросы аутентификации с недействительными секретными ключами, не вызывая при этом ответов на ограничение скорости, что позволяет систематически угадывать секретные данные и последующую отправку поддельных веб-перехватчиков.
Показать оригинальное описание (EN)
OpenClaw before 2026.3.12 applies rate limiting only after successful webhook authentication, allowing attackers to bypass rate limits and brute-force webhook secrets. Attackers can submit repeated authentication requests with invalid secrets without triggering rate limit responses, enabling systematic secret guessing and subsequent forged webhook submission.
Характеристики атаки
Последствия
Строка CVSS v4.0
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Openclaw Openclaw
cpe:2.3:a:openclaw:openclaw:*:*:*:*:*:node.js:*:*
|
— |
2026.3.12
|