CVE-2026-35630
HighCVSS 8.0Summary
OpenClaw przed wersją 2026.5.18 zawiera lukę w autoryzacji, która pozwala użytkownikom bez uprawnień na klikanie przycisków zatwierdzania w QQBot. Luka ta nie egzekwuje tożsamości zatwierdzającego, co umożliwia nieautoryzowanym użytkownikom rozwiązywanie oczekujących wniosków o zatwierdzenie wykonania lub wtyczki.
Risk Assessment
Organizacja może być narażona na nieautoryzowane działania, co może prowadzić do niekontrolowanego dostępu do funkcji zatwierdzania. To zwiększa ryzyko wprowadzenia nieautoryzowanych zmian w systemie.
Recommendation
Zaleca się aktualizację OpenClaw do wersji 2026.5.18 lub nowszej, aby usunąć tę lukę. Dodatkowo warto przeprowadzić audyt uprawnień użytkowników, aby zapewnić odpowiednią kontrolę dostępu.
Original NVD description (English source)
OpenClaw before 2026.5.18 contains an authorization bypass vulnerability in QQBot native approval buttons that fails to enforce configured approver identity. Non-approver users can click approval buttons to resolve pending exec or plugin approval requests without proper authorization.

