OpenClaw до 2026.3.22 содержит непроверенную уязвимость WebView JavascriptInterface, позволяющую злоумышленникам внедрять произвольные инструкции. Недоверенные страницы могут вызывать мост Canvas для выполнения вредоносного кода в контексте приложения Android.
Показать оригинальное описание (EN)
OpenClaw before 2026.3.22 contains an unvalidated WebView JavascriptInterface vulnerability allowing attackers to inject arbitrary instructions. Untrusted pages can invoke the canvas bridge to execute malicious code within the Android application context.
Характеристики атаки
Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Условия для атаки
Не требуются
Нет дополнительных условий
Нужны права
Не требуются
Права не нужны
Участие пользователя
Активное
Нужно действие пользователя
Последствия
Конфиденциальность
Высокое
Полная утечка данных
Целостность
Высокое
Полная модификация данных
Доступность
Высокое
Полный отказ в обслуживании
Строка CVSS v4.0
Тип уязвимости (CWE)
Ссылки 4
https://github.com/openclaw/openclaw/commit/630f1479c44f78484dfa21bb407cbe6f171…
disclosure@vulncheck.com
https://github.com/openclaw/openclaw/commit/8b02ef133275be96d8aac2283100016c8a7…
disclosure@vulncheck.com
https://github.com/openclaw/openclaw/security/advisories/GHSA-cxmw-p77q-wchg
disclosure@vulncheck.com
https://www.vulncheck.com/advisories/openclaw-arbitrary-code-execution-via-unva…
disclosure@vulncheck.com