OpenClaw до версии 2026.3.25 анализирует тела запросов JSON перед проверкой подписей веб-перехватчиков, что позволяет неаутентифицированным злоумышленникам выполнять ресурсоемкие операции анализа. Удаленные злоумышленники могут отправлять вредоносные запросы веб-перехватчиков, вызывающие отказ в обслуживании, истощая ресурсы сервера путем принудительного анализа JSON перед отклонением подписи.
Показать оригинальное описание (EN)
OpenClaw before 2026.3.25 parses JSON request bodies before validating webhook signatures, allowing unauthenticated attackers to force resource-intensive parsing operations. Remote attackers can send malicious webhook requests to trigger denial of service by exhausting server resources through forced JSON parsing before signature rejection.
Характеристики атаки
Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Условия для атаки
Не требуются
Нет дополнительных условий
Нужны права
Не требуются
Права не нужны
Участие пользователя
Не требуется
Не нужно действие пользователя
Последствия
Конфиденциальность
Нет
Нет утечки данных
Целостность
Нет
Нет модификации данных
Доступность
Низкое
Частичное нарушение работы
Строка CVSS v4.0
Тип уязвимости (CWE)
Ссылки 3
https://github.com/openclaw/openclaw/commit/5e8cb22176e9235e224be0bc530699261eb…
disclosure@vulncheck.com
https://github.com/openclaw/openclaw/security/advisories/GHSA-3h52-cx59-c456
disclosure@vulncheck.com
https://www.vulncheck.com/advisories/openclaw-denial-of-service-via-unauthentic…
disclosure@vulncheck.com