OpenClaw до 2026.3.22 выполняет расширение цитирования перед завершением проверок авторизации канала и DM, позволяя ссылаться на работу и о…
OpenClaw до 2026.3.22 выполняет расширение цитирования перед завершением проверок авторизации канала и DM, позволяя ссылаться на работу и обработку контента до принятия окончательных решений. Злоумышленники могут использовать эту уязвимость синхронизации для доступа или манипулирования контентом до того, как произойдет надлежащая проверка авторизации.
Программный продукт выполняет несколько связанных операций, однако в неверном порядке, что может порождать производные слабости.
https://cwe.mitre.org/data/definitions/696.html →Открыть в коллекции CWE →Злоумышленник способен эффективно расшифровывать данные, не зная ключа дешифрования, если целевая система раскрывает информацию о том, возникла ли ошибка дополнения при расшифровке зашифртекста. Целевая система, утечку такой информации, становится оракулом дополнения, а злоумышленник может использовать этот оракул для эффективной расшифровки данных без знания ключа дешифрования, выполнив в среднем 128*b обращений к оракулу дополнения (где b — количество байт в блоке зашифртекста). Помимо расшифровки, злоумышленник способен также формировать корректные зашифртексты (то есть выполнять шифрование) с использованием оракула дополнения, не зная ключа шифрования.
https://capec.mitre.org/data/definitions/463.html →Открыть в коллекции CAPEC →