CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2026-35630

HighCVSS 8.0
Published: Updated: Translated: NVD NIST

Summary

OpenClaw przed wersją 2026.5.18 zawiera lukę w autoryzacji, która pozwala użytkownikom bez uprawnień na klikanie przycisków zatwierdzania w QQBot. Luka ta nie egzekwuje tożsamości zatwierdzającego, co umożliwia nieautoryzowanym użytkownikom rozwiązywanie oczekujących wniosków o zatwierdzenie wykonania lub wtyczki.

Risk Assessment

Organizacja może być narażona na nieautoryzowane działania, co może prowadzić do niekontrolowanego dostępu do funkcji zatwierdzania. To zwiększa ryzyko wprowadzenia nieautoryzowanych zmian w systemie.

Recommendation

Zaleca się aktualizację OpenClaw do wersji 2026.5.18 lub nowszej, aby usunąć tę lukę. Dodatkowo warto przeprowadzić audyt uprawnień użytkowników, aby zapewnić odpowiednią kontrolę dostępu.

Original NVD description (English source)

OpenClaw before 2026.5.18 contains an authorization bypass vulnerability in QQBot native approval buttons that fails to enforce configured approver identity. Non-approver users can click approval buttons to resolve pending exec or plugin approval requests without proper authorization.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS