OpenClaw до 2026.3.22 содержит уязвимость обнаружения службы, из-за которой метаданные TXT из Bonjour и DNS-SD могут влиять на маршрутизацию CLI, даже если фактическое разрешение службы не удалось. Злоумышленники могут использовать неразрешенные подсказки, чтобы направлять решения о маршрутизации к непредусмотренным целям, предоставляя вредоносные метаданные обнаружения.
Показать оригинальное описание (EN)
OpenClaw before 2026.3.22 contains a service discovery vulnerability where TXT metadata from Bonjour and DNS-SD could influence CLI routing even when actual service resolution failed. Attackers can exploit unresolved hints to steer routing decisions to unintended targets by providing malicious discovery metadata.
Характеристики атаки
Способ атаки
Смежная сеть
Нужен доступ к локальной сети
Сложность
Низкая
Легко эксплуатировать
Условия для атаки
Не требуются
Нет дополнительных условий
Нужны права
Не требуются
Права не нужны
Участие пользователя
Пассивное
Минимальное взаимодействие
Последствия
Конфиденциальность
Низкое
Частичная утечка данных
Целостность
Низкое
Частичная модификация данных
Доступность
Нет
Нет нарушения работы
Строка CVSS v4.0
Тип уязвимости (CWE)
Ссылки 4
https://github.com/openclaw/openclaw/commit/630f1479c44f78484dfa21bb407cbe6f171…
disclosure@vulncheck.com
https://github.com/openclaw/openclaw/commit/deecf68b59a9b7eea978e40fd3c2fe54308…
disclosure@vulncheck.com
https://github.com/openclaw/openclaw/security/advisories/GHSA-rvqr-hrcc-j9vv
disclosure@vulncheck.com
https://www.vulncheck.com/advisories/openclaw-unresolved-service-metadata-routi…
disclosure@vulncheck.com