Уязвимость средства проверки PKCE клиента OpenClaw, связанная с раскрытием информации. Эта уязвимость позволяет удаленным злоумышленникам раскрыть сохраненные учетные данные в затронутых установках OpenClaw. Для использования этой уязвимости требуется взаимодействие с пользователем, поскольку цель должна инициировать поток авторизации OAuth.
Конкретный недостаток существует в реализации авторизации OAuth. Проблема возникает из-за раскрытия конфиденциальных данных в строке запроса URL-адреса авторизации. Злоумышленник может использовать эту уязвимость для раскрытия сохраненных учетных данных, что приведет к дальнейшему компрометации.
Был ZDI-CAN-29381.
Показать оригинальное описание (EN)
OpenClaw Client PKCE Verifier Information Disclosure Vulnerability. This vulnerability allows remote attackers to disclose stored credentials on affected installations of OpenClaw. User interaction is required to exploit this vulnerability in that the target must initiate an OAuth authorization flow. The specific flaw exists within the implementation of OAuth authorization. The issue results from the exposure of sensitive data in the authorization URL query string. An attacker can leverage this vulnerability to disclose stored credentials, leading to further compromise. Was ZDI-CAN-29381.
Характеристики атаки
Последствия
Строка CVSS v3.0