OpenClaw до 2026.3.25 содержит уязвимость обхода авторизации, при которой события групповой реакции обходят механизм контроля доступа requireMention. Злоумышленники могут инициировать реакцию в группах с контролем упоминаний, чтобы поставить в очередь системные события, видимые для агента, которые должны оставаться ограниченными.
Показать оригинальное описание (EN)
OpenClaw before 2026.3.25 contains an authorization bypass vulnerability where group reaction events bypass the requireMention access control mechanism. Attackers can trigger reactions in mention-gated groups to enqueue agent-visible system events that should remain restricted.
Характеристики атаки
Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Условия для атаки
Не требуются
Нет дополнительных условий
Нужны права
Низкие
Нужны базовые права
Участие пользователя
Не требуется
Не нужно действие пользователя
Последствия
Конфиденциальность
Нет
Нет утечки данных
Целостность
Низкое
Частичная модификация данных
Доступность
Нет
Нет нарушения работы
Строка CVSS v4.0
Тип уязвимости (CWE)
Ссылки 3
https://github.com/openclaw/openclaw/commit/f8c98630785288cc1f1d0893503ef3b653a…
disclosure@vulncheck.com
https://github.com/openclaw/openclaw/security/advisories/GHSA-mw7w-g3mg-xqm7
disclosure@vulncheck.com
https://www.vulncheck.com/advisories/openclaw-authorization-bypass-in-group-rea…
disclosure@vulncheck.com