OpenClaw до версии 2026.3.22 выполняет операции шифрования и отправки входящих прямых сообщений Nostr перед принудительной проверкой отправителя и политики сопряжения. Злоумышленники могут инициировать несанкционированные вычисления предварительной аутентификации, отправляя специально созданные сообщения DM, что приводит к отказу в обслуживании из-за истощения ресурсов.
Показать оригинальное описание (EN)
OpenClaw before 2026.3.22 performs cryptographic and dispatch operations on inbound Nostr direct messages before enforcing sender and pairing policy validation. Attackers can trigger unauthorized pre-authentication computation by sending crafted DM messages, enabling denial of service through resource exhaustion.
Характеристики атаки
Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Условия для атаки
Не требуются
Нет дополнительных условий
Нужны права
Не требуются
Права не нужны
Участие пользователя
Не требуется
Не нужно действие пользователя
Последствия
Конфиденциальность
Нет
Нет утечки данных
Целостность
Низкое
Частичная модификация данных
Доступность
Низкое
Частичное нарушение работы
Строка CVSS v4.0
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Openclaw Openclaw
cpe:2.3:a:openclaw:openclaw:*:*:*:*:*:node.js:*:*
|
— |
2026.3.22
|
Ссылки 4
https://github.com/openclaw/openclaw/commit/1ee9611079e81b9122f4bed01abb3d9f562…
disclosure@vulncheck.com
https://github.com/openclaw/openclaw/commit/630f1479c44f78484dfa21bb407cbe6f171…
disclosure@vulncheck.com
https://github.com/openclaw/openclaw/security/advisories/GHSA-65h8-27jh-q8wv
disclosure@vulncheck.com
https://www.vulncheck.com/advisories/openclaw-unauthenticated-cryptographic-wor…
disclosure@vulncheck.com