OpenClaw до 2026.3.25 содержит уязвимость обхода аутентификации в поверхности отправки необработанных карт, которая позволяет непарным получателям создавать устаревшие полезные нагрузки обратного вызова. Злоумышленники могут отправлять необработанные команды карты, чтобы обойти ограничения на сопряжение DM и выполнить обработку обратного вызова без надлежащей авторизации.
Показать оригинальное описание (EN)
OpenClaw before 2026.3.25 contains an authentication bypass vulnerability in raw card send surface that allows unpaired recipients to mint legacy callback payloads. Attackers can send raw card commands to bypass DM pairing restrictions and reach callback handling without proper authorization.
Характеристики атаки
Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Условия для атаки
Не требуются
Нет дополнительных условий
Нужны права
Не требуются
Права не нужны
Участие пользователя
Не требуется
Не нужно действие пользователя
Последствия
Конфиденциальность
Нет
Нет утечки данных
Целостность
Низкое
Частичная модификация данных
Доступность
Нет
Нет нарушения работы
Строка CVSS v4.0
Тип уязвимости (CWE)
Ссылки 3
https://github.com/openclaw/openclaw/commit/81c45976db532324b5a0918a70decc19520…
disclosure@vulncheck.com
https://github.com/openclaw/openclaw/security/advisories/GHSA-77w2-crqv-cmv3
disclosure@vulncheck.com
https://www.vulncheck.com/advisories/openclaw-dm-pairing-bypass-via-legacy-card…
disclosure@vulncheck.com