CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2026-28466

Critical
Published: Translated: NVD NIST

Summary

Wersje OpenClaw przed 2026.2.14 zawierają podatność w bramce, która nie oczyszcza wewnętrznych pól zatwierdzenia w parametrach node.invoke. Umożliwia to uwierzytelnionym klientom ominięcie zatwierdzenia wykonania dla poleceń system.run.

Risk Assessment

Atakujący posiadający ważne dane uwierzytelniające bramki mogą wstrzykiwać pola kontrolne zatwierdzenia, co pozwala na wykonywanie dowolnych poleceń na podłączonych hostach, co może prowadzić do kompromitacji stacji roboczych deweloperów oraz runnerów CI.

Recommendation

Zaleca się aktualizację OpenClaw do wersji 2026.2.14 lub nowszej oraz przeglądanie i wzmocnienie zabezpieczeń dostępu do bramki.

Original NVD description (English source)

OpenClaw versions prior to 2026.2.14 contain a vulnerability in the gateway in which it fails to sanitize internal approval fields in node.invoke parameters, allowing authenticated clients to bypass exec approval gating for system.run commands. Attackers with valid gateway credentials can inject approval control fields to execute arbitrary commands on connected node hosts, potentially compromising developer workstations and CI runners.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS