OpenClaw до 2026.3.25 содержит уязвимость эскалации привилегий, позволяющую операторам, не являющимся администраторами, самостоятельно запр…
OpenClaw до 2026.3.25 содержит уязвимость эскалации привилегий, позволяющую операторам, не являющимся администраторами, самостоятельно запрашивать более широкие области во время повторного подключения к backend. Злоумышленники могут обойти требования к сопряжению, чтобы повторно подключиться как оператор.admin, получая несанкционированные административные привилегии.
Программный продукт не соблюдает требования API к вызову функции, требующей повышенных привилегий. Это может позволить злоумышленникам получить привилегии, спровоцировав некорректный вызов функции.
https://cwe.mitre.org/data/definitions/648.html →Открыть в коллекции CWE →Межсайтовая трассировка (XST) позволяет злоумышленнику похитить cookie сессии жертвы и, возможно, другие учётные данные аутентификации, передаваемые в заголовке HTTP-запроса при взаимодействии браузера жертвы с веб-сервером целевой системы.
https://capec.mitre.org/data/definitions/107.html →Открыть в коллекции CAPEC →Злоумышленник получает контроль над процессом, которому в операционной системе назначены повышенные привилегии, для выполнения произвольного кода с этими привилегиями. Некоторым процессам в операционной системе назначаются повышенные привилегии — как правило, посредством связи с определённым пользователем, группой или ролью. Если злоумышленник может захватить данный процесс, он получает возможность принять его уровень привилегий для выполнения собственного кода.
https://capec.mitre.org/data/definitions/234.html →Открыть в коллекции CAPEC →