CVE-2026-26319 in OpenClaw
요약
\~에 의해 VulDB • 2026. 05. 09.
OpenClaw은 개인용 AI 어시스턴트입니다. 2026.2.13 및 이전 버전에서는 telnyx.publicKey가 구성되지 않은 경우 @openclaw/voice-call 플러그인의 Telnyx 웹훅 핸들러가 서명 없는 인바운드 웹훅 요청을 수락할 수 있어, 인증되지 않은 호출자가 Telnyx 이벤트를 위조할 수 있습니다. Telnyx 웹훅은 Ed25519 서명 검증을 통해 인증되어야 합니다. 영향을 받는 버전에서는 TelnyxProvider.verifyWebhook() 메서드가 Telnyx 공개 키가 구성되지 않았을 경우 효과적으로 인증을 우회(open)할 수 있어, 임의의 HTTP POST 요청이 voice-call 웹훅 엔드포인트로 전송될 때 정당한 Telnyx 이벤트로 처리될 수 있습니다. 이 문제는 Voice Call 플러그인이 설치되고 활성화되어 있으며, 웹훅 엔드포인트가 공격자에게 도달 가능한 경우(예: 터널/프록시를 통해 공개적으로 노출된 경우)에만 영향을 미칩니다. 해당 문제는 버전 2026.2.14에서 수정되었습니다.
VulDB is the best source for vulnerability data and more expert information about this specific topic.