anonhaven

CVE-2026-35651

MEDIUM CVSS 4.0: 5,3 EPSS 0.03%
Обновлено 10 апреля 2026
OpenClaw
Параметр Значение
CVSS 5,3 (MEDIUM)
Уязвимые версии 2026.2.13 — 2026.3.24
Тип уязвимости CWE-150
Поставщик OpenClaw
Публичный эксплойт Нет

Версии OpenClaw с 2026.2.13 по 2026.3.24 содержат уязвимость внедрения escape-последовательности ANSI в запросах на одобрение, которая позволяет злоумышленникам подделывать вывод терминала. Метаданные ненадежных инструментов могут включать управляющие последовательности ANSI в запросы на одобрение и журналы разрешений, что позволяет злоумышленникам манипулировать отображаемой информацией с помощью названий вредоносных инструментов.

Показать оригинальное описание (EN)

OpenClaw versions 2026.2.13 through 2026.3.24 contain an ANSI escape sequence injection vulnerability in approval prompts that allows attackers to spoof terminal output. Untrusted tool metadata can carry ANSI control sequences into approval prompts and permission logs, enabling attackers to manipulate displayed information through malicious tool titles.

Характеристики атаки

Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Условия для атаки
Не требуются
Нет дополнительных условий
Нужны права
Не требуются
Права не нужны
Участие пользователя
Пассивное
Минимальное взаимодействие

Последствия

Конфиденциальность
Нет
Нет утечки данных
Целостность
Низкое
Частичная модификация данных
Доступность
Нет
Нет нарушения работы

Строка CVSS v4.0

Тип уязвимости (CWE)

CWE-150

Ссылки 3

https://github.com/openclaw/openclaw/commit/464e2c10a5edceb380d815adb6ff56e1a4c…
disclosure@vulncheck.com
https://github.com/openclaw/openclaw/security/advisories/GHSA-4hmj-39m8-jwc7
disclosure@vulncheck.com
https://www.vulncheck.com/advisories/openclaw-ansi-escape-sequence-injection-in…
disclosure@vulncheck.com
Share Post Share Share Share