OpenClaw до 2026.3.25 содержит отсутствующую уязвимость, ограничивающую скорость аутентификации веб-перехватчика, которая позволяет злоумышленникам перебирать слабые пароли веб-перехватчика без регулирования. Удаленные злоумышленники могут неоднократно отправлять неверные варианты пароля на конечную точку веб-перехватчика, чтобы поставить под угрозу аутентификацию и получить несанкционированный доступ.
Показать оригинальное описание (EN)
OpenClaw before 2026.3.25 contains a missing rate limiting vulnerability in webhook authentication that allows attackers to brute-force weak webhook passwords without throttling. Remote attackers can repeatedly submit incorrect password guesses to the webhook endpoint to compromise authentication and gain unauthorized access.
Характеристики атаки
Способ атаки
По сети
Атака возможна удалённо
Сложность
Высокая
Сложно эксплуатировать
Условия для атаки
Не требуются
Нет дополнительных условий
Нужны права
Не требуются
Права не нужны
Участие пользователя
Не требуется
Не нужно действие пользователя
Последствия
Конфиденциальность
Низкое
Частичная утечка данных
Целостность
Низкое
Частичная модификация данных
Доступность
Нет
Нет нарушения работы
Строка CVSS v4.0
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Openclaw Openclaw
cpe:2.3:a:openclaw:openclaw:*:*:*:*:*:node.js:*:*
|
— |
2026.3.25
|
Ссылки 3
https://github.com/openclaw/openclaw/commit/5e08ce36d522a1c96df2bfe88e39303ae26…
disclosure@vulncheck.com
https://github.com/openclaw/openclaw/security/advisories/GHSA-xq8g-hgh6-87hv
disclosure@vulncheck.com
https://www.vulncheck.com/advisories/openclaw-brute-force-attack-via-missing-we…
disclosure@vulncheck.com