OpenClaw до версии 2026.3.22 содержит уязвимость доставки ответов через веб-перехватчик, которая позволяет злоумышленникам повторно привязывать ответы чата к нежелательным пользователям, используя изменяемое сопоставление имен пользователей вместо стабильных числовых идентификаторов пользователей. Злоумышленники могут манипулировать изменениями имени пользователя, чтобы перенаправлять ответы, вызванные веб-перехватчиком, различным пользователям, минуя предполагаемую привязку получателя, записанную в событиях веб-перехватчика.
Показать оригинальное описание (EN)
OpenClaw before 2026.3.22 contains a webhook reply delivery vulnerability that allows attackers to rebind chat replies to unintended users by exploiting mutable username matching instead of stable numeric user identifiers. Attackers can manipulate username changes to redirect webhook-triggered replies to different users, bypassing the intended recipient binding recorded in webhook events.
Характеристики атаки
Последствия
Строка CVSS v4.0