OpenClaw до 2026.3.25 содержит недостающую уязвимость, ограничивающую скорость аутентификации веб-перехватчика Telegram, которая позволяет злоумышленникам перебирать слабые секреты веб-перехватчика. Уязвимость позволяет повторять попытки аутентификации без регулирования, что позволяет злоумышленникам систематически угадывать секреты веб-перехватчиков с помощью атак методом перебора.
Показать оригинальное описание (EN)
OpenClaw before 2026.3.25 contains a missing rate limiting vulnerability in Telegram webhook authentication that allows attackers to brute-force weak webhook secrets. The vulnerability enables repeated authentication guesses without throttling, permitting attackers to systematically guess webhook secrets through brute-force attacks.
Характеристики атаки
Способ атаки
По сети
Атака возможна удалённо
Сложность
Высокая
Сложно эксплуатировать
Условия для атаки
Не требуются
Нет дополнительных условий
Нужны права
Не требуются
Права не нужны
Участие пользователя
Не требуется
Не нужно действие пользователя
Последствия
Конфиденциальность
Низкое
Частичная утечка данных
Целостность
Низкое
Частичная модификация данных
Доступность
Нет
Нет нарушения работы
Строка CVSS v4.0
Тип уязвимости (CWE)
Ссылки 3
https://github.com/openclaw/openclaw/commit/c2c136ae9517ddd0789d742a0fdf4c10e8c…
disclosure@vulncheck.com
https://github.com/openclaw/openclaw/security/advisories/GHSA-vcx4-4qxg-mfp4
disclosure@vulncheck.com
https://www.vulncheck.com/advisories/openclaw-brute-force-attack-via-missing-te…
disclosure@vulncheck.com