CRITICAL🇬🇧 English

CVE-2026-28446

OpenClaw — pominięcie uwierzytelniania w rozszerzeniu voice-call (auth bypass)

CVSS 9.2v4.0pub. 2026-03-05upd. 2026-03-11

Wersje OpenClaw starsze niż 2026.2.1 z zainstalowanym i aktywnym rozszerzeniem voice-call zawierają podatność auth bypass w mechanizmie walidacji listy dozwolonych rozmówców (inbound allowlist). Błąd umożliwia zdalnym atakującym ominięcie kontroli dostępu i wykonanie narzędzi agenta głosowego bez autoryzacji.

Pokaż oryginał (EN)

OpenClaw versions prior to 2026.2.1 with the voice-call extension installed and enabled contain an authentication bypass vulnerability in inbound allowlist policy validation that accepts empty caller IDs and uses suffix-based matching instead of strict equality. Remote attackers can bypass inbound access controls by placing calls with missing caller IDs or numbers ending with allowlisted digits to reach the voice-call agent and execute tools.

🤖 Analiza AI
Jak działa

Podatność wynika z dwóch powiązanych błędów logicznych (CWE-303) w walidacji polityki allowlist dla połączeń przychodzących. Po pierwsze, mechanizm akceptuje puste identyfikatory rozmówcy (caller ID), zamiast je odrzucać. Po drugie, dopasowanie numeru rozmówcy do listy dozwolonych odbywa się przez sprawdzanie sufiksu (suffix-based matching) zamiast ścisłej równości (strict equality). Atakujący może wykonać połączenie z brakującym caller ID lub podać numer, którego końcówka zgadza się z dowolnym wpisem na liście allowlist, co skutkuje przyznaniem dostępu do agenta głosowego.

Skutki

Zdalny, nieuwierzytelniony atakujący może ominąć kontrolę dostępu do agenta voice-call i wykonywać dostępne narzędzia (tools) tego agenta, co może prowadzić do nieuprawnionego ujawnienia lub modyfikacji danych obsługiwanych przez komponent głosowy.

Mitygacja

Należy zaktualizować OpenClaw do wersji 2026.2.1 lub nowszej. Szczegóły patcha dostępne są w repozytorium GitHub (commit f8dfd034) oraz w oficjalnym security advisory GHSA-4rj2-gpmh-qq5x. Do czasu aktualizacji zaleca się wyłączenie rozszerzenia voice-call lub ograniczenie dostępu sieciowego do komponentu obsługującego połączenia przychodzące.

Kogo dotyczy

OpenClaw w wersjach wcześniejszych niż 2026.2.1 z zainstalowanym i włączonym rozszerzeniem voice-call.

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:N/VC:H/VI:H/VA:L/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
  • Openclaw

    APP
    Openclaw
    < 2026.2.2
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
Auth Bypass
CWE
Referencje

Powiązane podatności

CVE-2026-43585CRITICAL9.2PL ✓ten sam produkt

OpenClaw: ominięcie uwierzytelniania przez nieodświeżane tokeny bearer po rotacji SecretRef

CVE-2026-43575CRITICAL9.2PL ✓ten sam produkt

OpenClaw: Authentication Bypass w trasie pomocniczej sandbox noVNC

CVE-2026-43578CRITICAL9.1PL ✓ten sam produkt

OpenClaw: privilege escalation przez pominięcie zdarzeń async exec w heartbeat

CVE-2026-43581CRITICAL9.0PL ✓ten sam produkt

OpenClaw: ekspozycja Chrome DevTools Protocol poza sandbox

CVE-2026-44109CRITICAL9.2PL ✓ten sam produkt

OpenClaw — Auth Bypass w walidacji Feishu webhook umożliwia RCE