+7 (812) 677-17-05

Серьёзная уязвимость в OpenClaw

#

В OpenClaw закрыли серьёзную уязвимость, позволяющую брутфорсить пароли на локальных инстансах. В Microsoft не шутили, говоря, что с ИБ у Openclaw всё плохо: его шлюз по умолчанию цеплялся к localhost и оставлял открытым WebSocket.

У самого OpenClaw лимиты от брутфорса есть, а вот localhost в исключениях, чтобы локальные сессии по ошибке не отвалились. И браузер стучит по нему через WebSocket без ограничений. В сценарии атаки вредоносный сайт может запустить атаку по агенту и перебрать словарь за пару минут, и, соответственно, зарегистрировать доверенное устройство. Разраб уязвимость признал и оперативно закрыл за сутки — фикс в версии от 26 февраля.

Но тот факт, что на дворе 2026-й, а менеджер паролей с генератором всё ещё остаётся недостижимой мечтой, многое говорит о нашем обществе. Как и незакрытый стук по локалхосту. Видео с демо уязвимости здесь.

06.03.2026 Новости
Читайте все свежие новости первыми. Подписывайтесь на нас в Telegram
Том Хантер Том Хантер Pentest Guru

Мистер Том Хантер, вдохновитель нашей компании по обеспечению кибербезопасности

Спасибо

Спасибо, что заполнили форму! Мы свяжемся с вами в ближайшее время по указанным контактным данным!

Обратный звонок

Заполните форму и наш специалист свяжется с вами в ближайшее время.

    Выражаю согласие на обработку моих персональных данных в соответствии с Политикой в отношении обработки персональных данных в ООО «Ти Хантер»