OpenClaw до 2026.3.22 содержит уязвимость обхода авторизации в интерактивной отправке обратного вызова, которая позволяет отправителям, не внесенным в белый список, выполнять обработчики действий. Злоумышленники могут обойти проверку авторизации отправителя, отправляя обратные вызовы до завершения обычной проверки безопасности, что позволяет совершать несанкционированные действия.
Показать оригинальное описание (EN)
OpenClaw before 2026.3.22 contains an authorization bypass vulnerability in interactive callback dispatch that allows non-allowlisted senders to execute action handlers. Attackers can bypass sender authorization checks by dispatching callbacks before normal security validation completes, enabling unauthorized actions.
Характеристики атаки
Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Условия для атаки
Не требуются
Нет дополнительных условий
Нужны права
Не требуются
Права не нужны
Участие пользователя
Не требуется
Не нужно действие пользователя
Последствия
Конфиденциальность
Нет
Нет утечки данных
Целостность
Низкое
Частичная модификация данных
Доступность
Низкое
Частичное нарушение работы
Строка CVSS v4.0
Тип уязвимости (CWE)
Ссылки 4
https://github.com/openclaw/openclaw/commit/630f1479c44f78484dfa21bb407cbe6f171…
disclosure@vulncheck.com
https://github.com/openclaw/openclaw/commit/a47722de7e3c9cbda8d5512747ca7e3bb8f…
disclosure@vulncheck.com
https://github.com/openclaw/openclaw/security/advisories/GHSA-8883-9w57-vwv6
disclosure@vulncheck.com
https://www.vulncheck.com/advisories/openclaw-unauthorized-action-execution-via…
disclosure@vulncheck.com