OpenClaw до 2026.3.22 содержит уязвимость неаутентифицированного исчерпания ресурсов при обработке веб-перехватчика голосовых вызовов, которая буферизует тела запроса перед проверкой подписи поставщика. Злоумышленники могут отправлять большие или вредоносные запросы веб-перехватчиков, чтобы исчерпать ресурсы сервера без аутентификации, минуя проверку подписи.
Показать оригинальное описание (EN)
OpenClaw before 2026.3.22 contains an unauthenticated resource exhaustion vulnerability in voice call webhook handling that buffers request bodies before provider signature checks. Attackers can send large or malicious webhook requests to exhaust server resources without authentication by bypassing signature validation.
Характеристики атаки
Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Условия для атаки
Не требуются
Нет дополнительных условий
Нужны права
Не требуются
Права не нужны
Участие пользователя
Не требуется
Не нужно действие пользователя
Последствия
Конфиденциальность
Нет
Нет утечки данных
Целостность
Нет
Нет модификации данных
Доступность
Низкое
Частичное нарушение работы
Строка CVSS v4.0
Тип уязвимости (CWE)
Ссылки 4
https://github.com/openclaw/openclaw/commit/630f1479c44f78484dfa21bb407cbe6f171…
disclosure@vulncheck.com
https://github.com/openclaw/openclaw/commit/651dc7450b68a5396a009db78ef93826337…
disclosure@vulncheck.com
https://github.com/openclaw/openclaw/security/advisories/GHSA-rm59-992w-x2mv
disclosure@vulncheck.com
https://www.vulncheck.com/advisories/openclaw-unauthenticated-resource-exhausti…
disclosure@vulncheck.com