OpenClaw до 2026.3.8 содержит уязвимость обхода белого списка отправителей в своем плагине Microsoft Teams, которая позволяет неавторизованным отправителям обходить запланированные проверки авторизации. Если список разрешенных маршрутов группы/канала настроен с пустым параметром groupAllowFrom, обработчик сообщений синтезирует авторизацию отправителя с подстановочными знаками, позволяя любому отправителю в соответствующей команде/канале инициировать ответы в маршрутах Teams из белого списка.
Показать оригинальное описание (EN)
OpenClaw before 2026.3.8 contains a sender allowlist bypass vulnerability in its Microsoft Teams plugin that allows unauthorized senders to bypass intended authorization checks. When a team/channel route allowlist is configured with an empty groupAllowFrom parameter, the message handler synthesizes wildcard sender authorization, permitting any sender in the matched team/channel to trigger replies in allowlisted Teams routes.
Характеристики атаки
Последствия
Строка CVSS v4.0
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Openclaw Openclaw
cpe:2.3:a:openclaw:openclaw:*:*:*:*:*:node.js:*:*
|
— |
2026.3.8
|