OpenClaw до версии 2026.3.22 выполняет расширение цитирования перед завершением проверок авторизации канала и DM, позволяя работать с цитированием и обрабатывать контент до принятия окончательных решений по аутентификации. Злоумышленники могут воспользоваться этой временной уязвимостью для доступа к контенту или манипулирования им до того, как произойдет надлежащая проверка авторизации.
Показать оригинальное описание (EN)
OpenClaw before 2026.3.22 performs cite expansion before completing channel and DM authorization checks, allowing cite work and content handling prior to final auth decisions. Attackers can exploit this timing vulnerability to access or manipulate content before proper authorization validation occurs.
Характеристики атаки
Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Условия для атаки
Не требуются
Нет дополнительных условий
Нужны права
Не требуются
Права не нужны
Участие пользователя
Не требуется
Не нужно действие пользователя
Последствия
Конфиденциальность
Низкое
Частичная утечка данных
Целостность
Низкое
Частичная модификация данных
Доступность
Низкое
Частичное нарушение работы
Строка CVSS v4.0
Тип уязвимости (CWE)
Ссылки 5
https://github.com/openclaw/openclaw/commit/3cbf932413e41d1836cb91aed1541a28a31…
disclosure@vulncheck.com
https://github.com/openclaw/openclaw/commit/630f1479c44f78484dfa21bb407cbe6f171…
disclosure@vulncheck.com
https://github.com/openclaw/openclaw/commit/ebee4e2210e1f282a982c7ef2ad79d77a57…
disclosure@vulncheck.com
https://github.com/openclaw/openclaw/security/advisories/GHSA-vfg3-pqpq-93m4
disclosure@vulncheck.com
https://www.vulncheck.com/advisories/openclaw-premature-cite-expansion-before-a…
disclosure@vulncheck.com