CVE-2026-28464: Zeitlücke in OpenClaw erlaubt Token-Extraktion
⚠️ CVE-Referenzen:
CVE-2026-28464
Zusammenfassung
Versionen von OpenClaw vor 2026.2.12 verwenden einen nicht zeitkonstanten Stringvergleich für die Validierung von Hook-Tokens. Angreifer können über Zeitanalysen mehrerer Anfragen an den Hook-Endpunkt nach und nach den Authentifizierungs-Token extrahieren. Dies ermöglicht Remote-Attacken mit Netzwerkzugriff auf den Hook-Endpunkt.
OpenClaw versions prior to 2026.2.12 use non-constant-time string comparison for hook token validation, allowing attackers to infer tokens through timing measurements. Remote attackers with network access to the hooks endpoint can exploit timing side-channels across multiple requests to gradually determine the authentication token.
Quelle: app.opencve.io