CVE Catalog
EnglishPolski(English translation not available — showing Polish)

CVE-2026-32916

Critical
Published: Translated: NVD NIST

Summary

Wersje OpenClaw 2026.3.7 przed 2026.3.11 zawierają podatność na obejście autoryzacji, która pozwala na wykonywanie metod bramy przez klienta syntetycznego z szerokimi uprawnieniami administracyjnymi. Zdalne, nieautoryzowane żądania do tras należących do wtyczek mogą wywoływać metody runtime.subagent, co umożliwia wykonywanie uprzywilejowanych działań bramy, w tym usuwanie sesji i uruchamianie agentów.

Risk Assessment

Podatność ta stwarza poważne ryzyko dla organizacji, ponieważ umożliwia nieautoryzowanym użytkownikom wykonywanie krytycznych operacji, co może prowadzić do utraty danych lub przejęcia kontroli nad systemem.

Recommendation

Zaleca się aktualizację OpenClaw do wersji 2026.3.11 lub nowszej, aby usunąć tę podatność oraz wprowadzenie dodatkowych środków zabezpieczających, takich jak monitorowanie i ograniczenie dostępu do tras wtyczek.

Original NVD description (English source)

OpenClaw versions 2026.3.7 before 2026.3.11 contain an authorization bypass vulnerability where plugin subagent routes execute gateway methods through a synthetic operator client with broad administrative scopes. Remote unauthenticated requests to plugin-owned routes can invoke runtime.subagent methods to perform privileged gateway actions including session deletion and agent execution.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS