OpenClaw до 2026.3.23 содержит уязвимость недостаточного контроля доступа в конечной точке агента шлюза /reset, которая позволяет вызывающим абонентам с разрешением оператора.write сбрасывать сеансы администрирования. Злоумышленники с привилегиями оператора.write могут вызывать сообщения /reset или /new с явным ключом sessionKey, чтобы обойти требования оператора.admin и сбросить произвольные сеансы.
Показать оригинальное описание (EN)
OpenClaw before 2026.3.23 contains an insufficient access control vulnerability in the Gateway agent /reset endpoint that allows callers with operator.write permission to reset admin sessions. Attackers with operator.write privileges can invoke /reset or /new messages with an explicit sessionKey to bypass operator.admin requirements and reset arbitrary sessions.
Характеристики атаки
Последствия
Строка CVSS v4.0