CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2026-32922

Critical
Published: Translated: NVD NIST

Summary

OpenClaw przed wersją 2026.3.11 zawiera podatność na eskalację uprawnień w funkcji device.token.rotate, która pozwala na tworzenie tokenów z szerszymi uprawnieniami przez osoby z zakresem operator.pairing. W wyniku tego atakujący mogą uzyskać tokeny operator.admin dla sparowanych urządzeń.

Risk Assessment

Podatność ta umożliwia zdalne wykonanie kodu na podłączonych węzłach oraz nieautoryzowany dostęp do administracji bramki, co stwarza poważne zagrożenie dla bezpieczeństwa systemu.

Recommendation

Zaleca się aktualizację OpenClaw do wersji 2026.3.11 lub nowszej, aby usunąć tę podatność oraz ograniczyć dostęp do funkcji związanych z tokenami.

Original NVD description (English source)

OpenClaw before 2026.3.11 contains a privilege escalation vulnerability in device.token.rotate that allows callers with operator.pairing scope to mint tokens with broader scopes by failing to constrain newly minted scopes to the caller's current scope set. Attackers can obtain operator.admin tokens for paired devices and achieve remote code execution on connected nodes via system.run or gain unauthorized gateway-admin access.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS