Версии OpenClaw до 2026.2.1 с установленным и включенным расширением голосового вызова содержат уязвимость обхода аутентификации в вступите…
Версии OpenClaw до 2026.2.1 с установленным и включенным расширением голосового вызова содержат уязвимость обхода аутентификации в вступительной валидной политики разрешающего списка, которая принимает пустые идентификаторы вызывающего абонента и использует соответствие на основе суффикса вместо строгого равенства. Удаленные злоумышленники могут обойти входящие элементы управления доступом, размещая вызовы с отсутствующими идентификаторами звонков или номерами, заканчивающимися допустимыми цифрами, чтобы достичь агента голосового вызова и выполнить инструменты.
Требования к продукту предписывают использование установленного алгоритма аутентификации, однако его реализация выполнена некорректно.
https://cwe.mitre.org/data/definitions/303.html →Открыть в коллекции CWE →Злоумышленник может злоупотребить протоколом аутентификации, уязвимым к атаке-отражению, для его обхода. Это позволяет злоумышленнику получить нелегитимный доступ к целевой системе без наличия требуемых учётных данных. Атаки-отражения представляют серьёзную угрозу для протоколов аутентификации, основанных на механизме запрос-ответ или аналогичном. Злоумышленник может выдавать себя за легитимного пользователя и, успешно проведя атаку-отражение в ходе аутентификации, получить нелегитимный доступ к системе.
https://capec.mitre.org/data/definitions/90.html →Открыть в коллекции CAPEC →