CVE-2026-35664
⚪ Do wiadomości
Obejście uwierzytelnienia w OpenClaw pozwala nieautoryzowanym odbiorcom na wysyłanie poleceń.
CVSS
5.3
EPSS
0.1%
Exploit
none
Vendor
Opis źródłowy (NVD)
OpenClaw before 2026.3.25 contains an authentication bypass vulnerability in raw card send surface that allows unpaired recipients to mint legacy callback payloads. Attackers can send raw card commands to bypass DM pairing restrictions and reach callback handling without proper authorization.
auth-bypass
Brak patcha
Źródła i daty
| Źródło | Wartość |
|---|---|
| NVD – CVSS | 5.3 |
| CISA KEV (aktywnie wykorzystywane) | Nie |
| FIRST EPSS (prawdopodobieństwo exploita) | 0.1% |
| Opublikowano (NVD) | 2026-04-10 17:17:08 UTC |
| Ostatnia modyfikacja (NVD) | 2026-04-10 17:17:08 UTC |
Referencje
- https://github.com/openclaw/openclaw/commit/81c45976db532324b5a0918a70decc19520dc354 (disclosure@vulncheck.com)
- https://github.com/openclaw/openclaw/security/advisories/GHSA-77w2-crqv-cmv3 (disclosure@vulncheck.com)
- https://www.vulncheck.com/advisories/openclaw-dm-pairing-bypass-via-legacy-card-callbacks (disclosure@vulncheck.com)