TechFlowより、3月22日、Jinshi Dataの報道によると、360セキュリティクラウドチームはOpenClaw創設者であるPeter氏から公式メールを受信しました。返信において、Peter氏は360チームが独自に発見した「OpenClaw Gateway WebSocket無認証アップグレード脆弱性」を正式に確認しました。現在、360はこの高危険度の脆弱性を国家情報セキュリティ脆弱性共有プラットフォーム(CNVD)へ即時通報し、ネットワーク全体におけるリスク源の即時遮断を支援しています。今回確認されたWebSocket無認証アップグレード脆弱性はゼロデイ(0Day)脆弱性に該当し、攻撃者は本脆弱性を悪用してWebSocket経由で権限認証をサイレントにバイパスし、エージェントゲートウェイの制御権を不正に取得することが可能です。これにより、標的システムのリソースが枯渇する、あるいは完全にクラッシュするといった事態を招く可能性があります。
お気に入りに追加
SNSで共有
