OpenClaw до 2026.3.25 содержит уязвимость контроля доступа, при которой уведомления о проверке обходят проверки политики DM и отвечают непарным узлам. Злоумышленники могут отправлять уведомления о проверке пользователям за пределами разрешенных политик прямых сообщений, используя недостаточную проверку доступа перед отправкой сообщения.
Показать оригинальное описание (EN)
OpenClaw before 2026.3.25 contains an access control vulnerability where verification notices bypass DM policy checks and reply to unpaired peers. Attackers can send verification notices to users outside allowed direct message policies by exploiting insufficient access validation before message transmission.
Характеристики атаки
Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Условия для атаки
Не требуются
Нет дополнительных условий
Нужны права
Не требуются
Права не нужны
Участие пользователя
Не требуется
Не нужно действие пользователя
Последствия
Конфиденциальность
Нет
Нет утечки данных
Целостность
Низкое
Частичная модификация данных
Доступность
Нет
Нет нарушения работы
Строка CVSS v4.0
Тип уязвимости (CWE)
Ссылки 3
https://github.com/openclaw/openclaw/commit/2383daf5c4a4e08d9553e0e949552ad755e…
disclosure@vulncheck.com
https://github.com/openclaw/openclaw/security/advisories/GHSA-9wqx-g2cw-vc7r
disclosure@vulncheck.com
https://www.vulncheck.com/advisories/openclaw-direct-message-policy-bypass-via-…
disclosure@vulncheck.com