OpenClaw до 2026.3.22 содержит уязвимость повышения привилегий в пользовательском интерфейсе управления, которая позволяет неаутентифицированным сеансам сохранять самообъявленные привилегированные области без проверки личности устройства. Злоумышленники могут использовать путь разрешения без устройств в механизме доверенного прокси-сервера для поддержания повышенных разрешений, объявляя произвольные области в обход требований идентификации устройства.
Показать оригинальное описание (EN)
OpenClaw before 2026.3.22 contains a privilege escalation vulnerability in the Control UI that allows unauthenticated sessions to retain self-declared privileged scopes without device identity verification. Attackers can exploit the device-less allow path in the trusted-proxy mechanism to maintain elevated permissions by declaring arbitrary scopes, bypassing device identity requirements.
Характеристики атаки
Последствия
Строка CVSS v4.0