Katalog CVE

CVE-2026-28446

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

Wersje OpenClaw przed 2026.2.1 z zainstalowanym i włączonym rozszerzeniem do połączeń głosowych zawierają podatność na obejście uwierzytelniania w walidacji polityki dozwolonych numerów przychodzących. Atakujący mogą obejść kontrole dostępu, wykonując połączenia z brakującymi identyfikatorami dzwoniących lub numerami kończącymi się na dozwolone cyfry.

Ocena ryzyka

Organizacje mogą być narażone na nieautoryzowany dostęp do agentów połączeń głosowych, co może prowadzić do nieautoryzowanego wykonania narzędzi i potencjalnych strat danych. To stwarza poważne zagrożenie dla bezpieczeństwa systemów komunikacyjnych.

Rekomendacja

Zaleca się aktualizację OpenClaw do wersji 2026.2.1 lub nowszej oraz przegląd polityki dozwolonych numerów, aby zapewnić, że nieakceptowane identyfikatory dzwoniących są odpowiednio blokowane.

Oryginalny opis (angielski, źródło NVD)

OpenClaw versions prior to 2026.2.1 with the voice-call extension installed and enabled contain an authentication bypass vulnerability in inbound allowlist policy validation that accepts empty caller IDs and uses suffix-based matching instead of strict equality. Remote attackers can bypass inbound access controls by placing calls with missing caller IDs or numbers ending with allowlisted digits to reach the voice-call agent and execute tools.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS