OpenClaw до 2026.3.25 содержит уязвимость обхода авторизации в применении групповой политики Google Chat, которая основана на отображаемых именах изменяемого пространства. Злоумышленники могут повторно привязать групповые политики, изменив или совместив отображаемые имена пространств, чтобы получить несанкционированный доступ к защищенным ресурсам.
Показать оригинальное описание (EN)
OpenClaw before 2026.3.25 contains an authorization bypass vulnerability in Google Chat group policy enforcement that relies on mutable space display names. Attackers can rebind group policies by changing or colliding space display names to gain unauthorized access to protected resources.
Характеристики атаки
Способ атаки
По сети
Атака возможна удалённо
Сложность
Высокая
Сложно эксплуатировать
Условия для атаки
Не требуются
Нет дополнительных условий
Нужны права
Низкие
Нужны базовые права
Участие пользователя
Не требуется
Не нужно действие пользователя
Последствия
Конфиденциальность
Низкое
Частичная утечка данных
Целостность
Низкое
Частичная модификация данных
Доступность
Нет
Нет нарушения работы
Строка CVSS v4.0
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Openclaw Openclaw
cpe:2.3:a:openclaw:openclaw:*:*:*:*:*:node.js:*:*
|
— |
2026.3.25
|
Ссылки 3
https://github.com/openclaw/openclaw/commit/11ea1f67863d88b6cbcb229dd368a45e070…
disclosure@vulncheck.com
https://github.com/openclaw/openclaw/security/advisories/GHSA-52q4-3xjc-6778
disclosure@vulncheck.com
https://www.vulncheck.com/advisories/openclaw-authorization-bypass-via-group-po…
disclosure@vulncheck.com