CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2026-32905

HighCVSS 8.3
Published: Updated: Translated: NVD NIST

Summary

OpenClaw przed wersją 2026.5.4 zawiera lukę w autoryzacji w wtyczce do parowania urządzeń, która pozwala nieuprawnionym nadawcom czatu na wydawanie kodów bootstrap do parowania urządzeń bez odpowiedniej walidacji zakresu. Atakujący z dostępem do poleceń czatu mogą tworzyć kody konfiguracyjne, aby zarejestrować urządzenia z uprawnieniami operatora/węzła.

Risk Assessment

Luka ta może prowadzić do nieautoryzowanego dostępu do urządzeń, co stwarza ryzyko dla bezpieczeństwa organizacji. Umożliwienie atakującym uzyskania trwałych poświadczeń może prowadzić do dalszych naruszeń bezpieczeństwa.

Recommendation

Zaleca się aktualizację OpenClaw do wersji 2026.5.4 lub nowszej, aby usunąć tę lukę. Dodatkowo, warto przeprowadzić audyt uprawnień i dostępu do poleceń czatu w celu zminimalizowania ryzyka.

Original NVD description (English source)

OpenClaw before 2026.5.4 contains an authorization bypass vulnerability in the bundled device-pair plugin that allows non-owner authorized chat senders to issue device-pairing bootstrap codes without proper scope validation. Attackers with chat command access can create setup codes to enroll devices with operator/node capabilities, granting persistent credentials until manual removal.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS