OpenClaw до 2026.3.22 содержит уязвимость неправильной проверки подлинности в обработке веб-перехватчика URL-адреса приложения Google Chat, которая принимает дополнительные субъекты вне предполагаемых привязок развертывания. Злоумышленники могут обойти аутентификацию веб-перехватчика, предоставив дополнительные субъекты, не требующие развертывания, для выполнения несанкционированных действий посредством интеграции с Google Chat.
Показать оригинальное описание (EN)
OpenClaw before 2026.3.22 contains an improper authentication verification vulnerability in Google Chat app-url webhook handling that accepts add-on principals outside intended deployment bindings. Attackers can bypass webhook authentication by providing non-deployment add-on principals to execute unauthorized actions through the Google Chat integration.
Характеристики атаки
Последствия
Строка CVSS v4.0
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Openclaw Openclaw
cpe:2.3:a:openclaw:openclaw:*:*:*:*:*:node.js:*:*
|
— |
2026.3.22
|