OpenClaw до 2026.3.22 содержит уязвимость авторизованного обхода в интерактивной отправке обратного вызова, которая позволяет не включенным…
OpenClaw до 2026.3.22 содержит уязвимость авторизованного обхода в интерактивной отправке обратного вызова, которая позволяет не включенным в список отправителям выполнять обработчики действий. Злоумышленники могут обойти проверки авторизации отправителя, отправив обратные вызовы до завершения обычной проверки безопасности, что позволяет совершать несанкционированные действия.
Программный продукт выполняет несколько связанных операций, однако в неверном порядке, что может порождать производные слабости.
https://cwe.mitre.org/data/definitions/696.html →Открыть в коллекции CWE →Злоумышленник способен эффективно расшифровывать данные, не зная ключа дешифрования, если целевая система раскрывает информацию о том, возникла ли ошибка дополнения при расшифровке зашифртекста. Целевая система, утечку такой информации, становится оракулом дополнения, а злоумышленник может использовать этот оракул для эффективной расшифровки данных без знания ключа дешифрования, выполнив в среднем 128*b обращений к оракулу дополнения (где b — количество байт в блоке зашифртекста). Помимо расшифровки, злоумышленник способен также формировать корректные зашифртексты (то есть выполнять шифрование) с использованием оракула дополнения, не зная ключа шифрования.
https://capec.mitre.org/data/definitions/463.html →Открыть в коллекции CAPEC →