Katalog CVE

CVE-2026-28466

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

Wersje OpenClaw przed 2026.2.14 zawierają podatność w bramce, która nie oczyszcza wewnętrznych pól zatwierdzenia w parametrach node.invoke. Umożliwia to uwierzytelnionym klientom ominięcie zatwierdzenia wykonania dla poleceń system.run.

Ocena ryzyka

Atakujący posiadający ważne dane uwierzytelniające bramki mogą wstrzykiwać pola kontrolne zatwierdzenia, co pozwala na wykonywanie dowolnych poleceń na podłączonych hostach, co może prowadzić do kompromitacji stacji roboczych deweloperów oraz runnerów CI.

Rekomendacja

Zaleca się aktualizację OpenClaw do wersji 2026.2.14 lub nowszej oraz przeglądanie i wzmocnienie zabezpieczeń dostępu do bramki.

Oryginalny opis (angielski, źródło NVD)

OpenClaw versions prior to 2026.2.14 contain a vulnerability in the gateway in which it fails to sanitize internal approval fields in node.invoke parameters, allowing authenticated clients to bypass exec approval gating for system.run commands. Attackers with valid gateway credentials can inject approval control fields to execute arbitrary commands on connected node hosts, potentially compromising developer workstations and CI runners.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS