CVE-2026-32905
WysokieCVSS 8.3Streszczenie
OpenClaw przed wersją 2026.5.4 zawiera lukę w autoryzacji w wtyczce do parowania urządzeń, która pozwala nieuprawnionym nadawcom czatu na wydawanie kodów bootstrap do parowania urządzeń bez odpowiedniej walidacji zakresu. Atakujący z dostępem do poleceń czatu mogą tworzyć kody konfiguracyjne, aby zarejestrować urządzenia z uprawnieniami operatora/węzła.
Ocena ryzyka
Luka ta może prowadzić do nieautoryzowanego dostępu do urządzeń, co stwarza ryzyko dla bezpieczeństwa organizacji. Umożliwienie atakującym uzyskania trwałych poświadczeń może prowadzić do dalszych naruszeń bezpieczeństwa.
Rekomendacja
Zaleca się aktualizację OpenClaw do wersji 2026.5.4 lub nowszej, aby usunąć tę lukę. Dodatkowo, warto przeprowadzić audyt uprawnień i dostępu do poleceń czatu w celu zminimalizowania ryzyka.
Oryginalny opis (angielski, źródło NVD)
OpenClaw before 2026.5.4 contains an authorization bypass vulnerability in the bundled device-pair plugin that allows non-owner authorized chat senders to issue device-pairing bootstrap codes without proper scope validation. Attackers with chat command access can create setup codes to enroll devices with operator/node capabilities, granting persistent credentials until manual removal.

