CVE-2026-32906
MediumCVSS 4.3Summary
OpenClaw przed wersją 2026.5.12 zawiera podatność na eskalację uprawnień w zatwierdzeniach wtyczek Slack, która pozwala użytkownikom z uprawnieniami exec na rozwiązywanie zatwierdzeń wtyczek przez bramkę zatwierdzającą exec. Atakujący z ograniczonymi uprawnieniami do zatwierdzania mogą obejść zamierzone podziały zatwierdzeń, aby zatwierdzić działania wtyczek poza konfiguracją operatora.
Risk Assessment
Podatność ta może prowadzić do nieautoryzowanego zatwierdzania działań wtyczek, co stwarza ryzyko dla integralności systemu i może prowadzić do nieautoryzowanych zmian w konfiguracji. Organizacje mogą być narażone na ataki, które wykorzystują tę lukę do eskalacji uprawnień.
Recommendation
Zaleca się aktualizację OpenClaw do wersji 2026.5.12 lub nowszej, aby usunąć tę podatność. Dodatkowo, należy przeanalizować i zaktualizować polityki zatwierdzania wtyczek, aby zminimalizować ryzyko nieautoryzowanych działań.
Original NVD description (English source)
OpenClaw before 2026.5.12 contains a privilege escalation vulnerability in Slack plugin approvals that allows exec-authorized users to resolve plugin approvals through the exec approver gate. Attackers with limited exec approval permissions can bypass intended approval splits to approve plugin actions outside operator configuration.

