OpenClaw до 2026.3.25 содержит уязвимость повышения привилегий в HTTP-маршрутах подключаемого модуля с проверкой подлинности шлюза, которая неправильно определяет область времени выполнения оператора.admin независимо от областей, предоставленных вызывающим абонентом. Злоумышленники могут использовать этот обход границ области действия для получения повышенных привилегий и выполнения несанкционированных административных действий.
Показать оригинальное описание (EN)
OpenClaw before 2026.3.25 contains a privilege escalation vulnerability in gateway-authenticated plugin HTTP routes that incorrectly mint operator.admin runtime scope regardless of caller-granted scopes. Attackers can exploit this scope boundary bypass to gain elevated privileges and perform unauthorized administrative actions.
Характеристики атаки
Последствия
Строка CVSS v4.0