CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2026-32975

Critical
Published: Translated: NVD NIST

Summary

OpenClaw przed wersją 2026.3.12 zawiera słabą podatność na autoryzację w trybie listy dozwolonych użytkowników Zalouser, która dopasowuje zmienne nazwy grup wyświetlania zamiast stabilnych identyfikatorów grup. Atakujący mogą tworzyć grupy o identycznych nazwach dozwolonych grup, aby obejść autoryzację kanału.

Risk Assessment

Organizacje mogą być narażone na nieautoryzowane przesyłanie wiadomości z niezamierzonych grup, co może prowadzić do wycieku informacji lub nieautoryzowanego dostępu do danych.

Recommendation

Zaleca się aktualizację OpenClaw do wersji 2026.3.12 lub nowszej oraz przegląd polityki autoryzacji, aby zapewnić, że identyfikatory grup są stabilne i niezmienne.

Original NVD description (English source)

OpenClaw before 2026.3.12 contains a weak authorization vulnerability in Zalouser allowlist mode that matches mutable group display names instead of stable group identifiers. Attackers can create groups with identical names to allowlisted groups to bypass channel authorization and route messages from unintended groups to the agent.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS