OpenClaw до версии 2026.3.12 применяет ограничение скорости только после успешной аутентификации веб-перехватчика, что позволяет злоумышленникам обходить ограничения скорости и перебирать секреты веб-перехватчика, не вызывая 429 ответов. Злоумышленники могут неоднократно угадывать неверные секреты, чтобы обнаружить действительные учетные данные и впоследствии отправить поддельный трафик веб-перехватчика Zalo.
Показать оригинальное описание (EN)
OpenClaw before 2026.3.12 applies rate limiting only after webhook authentication succeeds, allowing attackers to bypass rate limits and brute-force webhook secrets without triggering 429 responses. Attackers can repeatedly guess invalid secrets to discover valid credentials and subsequently submit forged Zalo webhook traffic.
Характеристики атаки
Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Условия для атаки
Требуются
Нужны дополнительные условия
Нужны права
Не требуются
Права не нужны
Участие пользователя
Не требуется
Не нужно действие пользователя
Последствия
Конфиденциальность
Низкое
Частичная утечка данных
Целостность
Низкое
Частичная модификация данных
Доступность
Нет
Нет нарушения работы
Строка CVSS v4.0