CVE-2026-28454

EPSS 0.03%
Veröffentlicht 05.03.2026 21:59:31
Zuletzt bearbeitet 06.03.2026 17:16:29
Quelle disclosure@vulncheck.com
CVE-Watchlists
Login
Unerledigt
Login

OpenClaw versions prior to 2026.2.2 fail to validate webhook secrets in Telegram webhook mode (must be enabled), allowing unauthenticated HTTP POST requests to the webhook endpoint that trust attacker-controlled JSON payloads. Remote attackers can forge Telegram updates by spoofing message.from.id and chat.id fields to bypass sender allowlists and execute privileged bot commands.

Betroffene Produkte Warnungen 0 Metriken 3 CWE 1 Referenzen 9

Verknüpft mit AI von unstrukturierten Daten zu bestehenden CPE der NVD

Diese Information steht angemeldeten Benutzern zur Verfügung.

Daten sind bereitgestellt durch das CVE Programm von einer CVE Numbering Authority (CNA) (Unstrukturiert).

HerstellerOpenClaw

≫

Produkt OpenClaw

Default Statusunaffected

Version < 2026.2.2

Version 0

Status affected

Zu dieser CVE wurde keine CISA KEV oder CERT.AT-Warnung gefunden.

EPSS Metriken
Typ	Quelle	Score	Percentile
EPSS	FIRST.org	0.03%	0.076

CVSS Metriken
Quelle	Base Score	Exploit Score	Impact Score	Vector String
disclosure@vulncheck.com	7.5	3.9	3.6	CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N
disclosure@vulncheck.com	8.2	0	0	CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:N/VC:N/VI:H/VA:N/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X

CWE-345 Insufficient Verification of Data Authenticity

The product does not sufficiently verify the origin or authenticity of data, in a way that causes it to accept invalid data.

https://github.com/openclaw/openclaw/commit/3cbcba10cf30c2ffb898f0d8c7dfb929f15f8930

https://github.com/openclaw/openclaw/commit/5643a934799dc523ec2ef18c007e1aa2c386b670

https://github.com/openclaw/openclaw/commit/633fe8b9c17f02fcc68ecdb5ec212a5ace932f09

https://github.com/openclaw/openclaw/commit/ca92597e1f9593236ad86810b66633144b69314d

https://github.com/openclaw/openclaw/security/advisories/GHSA-fhvm-j76f-qmjv

https://www.vulncheck.com/advisories/openclaw-authorization-bypass-via-unauthenticated-telegram-webhook

https://nvd.nist.gov/vuln/detail/CVE-2026-28454

CVE Source (NVD)

https://cveawg.mitre.org/api/cve/CVE-2026-28454

CVE Source (JSON)

https://euvd.enisa.europa.eu/vulnerability/CVE-2026-28454

EUVD

Team-orientierte Vulnerability Management Plattform

Features der Plattform

CVE-2026-28454