OpenClaw до 2026.3.25 содержит уязвимость обхода авторизации при вызове обратной связи Microsoft Teams, которая позволяет неавторизованным отправителям записывать обратную связь о сеансе. Злоумышленники могут обойти проверку списка разрешенных отправителей через конечные точки вызова обратной связи, чтобы инициировать несанкционированную запись или отражение обратной связи.
Показать оригинальное описание (EN)
OpenClaw before 2026.3.25 contains an authorization bypass vulnerability in Microsoft Teams feedback invokes that allows unauthorized senders to record session feedback. Attackers can bypass sender allowlist checks via feedback invoke endpoints to trigger unauthorized feedback recording or reflection.
Характеристики атаки
Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Условия для атаки
Не требуются
Нет дополнительных условий
Нужны права
Не требуются
Права не нужны
Участие пользователя
Не требуется
Не нужно действие пользователя
Последствия
Конфиденциальность
Нет
Нет утечки данных
Целостность
Низкое
Частичная модификация данных
Доступность
Нет
Нет нарушения работы
Строка CVSS v4.0
Тип уязвимости (CWE)
Ссылки 3
https://github.com/openclaw/openclaw/commit/c5415a474bb085404c20f8b312e43699797…
disclosure@vulncheck.com
https://github.com/openclaw/openclaw/security/advisories/GHSA-rf6h-5gpw-qrgq
disclosure@vulncheck.com
https://www.vulncheck.com/advisories/openclaw-authorization-bypass-in-microsoft…
disclosure@vulncheck.com