CVE-2026-32916
KrytyczneStreszczenie
Wersje OpenClaw 2026.3.7 przed 2026.3.11 zawierają podatność na obejście autoryzacji, która pozwala na wykonywanie metod bramy przez klienta syntetycznego z szerokimi uprawnieniami administracyjnymi. Zdalne, nieautoryzowane żądania do tras należących do wtyczek mogą wywoływać metody runtime.subagent, co umożliwia wykonywanie uprzywilejowanych działań bramy, w tym usuwanie sesji i uruchamianie agentów.
Ocena ryzyka
Podatność ta stwarza poważne ryzyko dla organizacji, ponieważ umożliwia nieautoryzowanym użytkownikom wykonywanie krytycznych operacji, co może prowadzić do utraty danych lub przejęcia kontroli nad systemem.
Rekomendacja
Zaleca się aktualizację OpenClaw do wersji 2026.3.11 lub nowszej, aby usunąć tę podatność oraz wprowadzenie dodatkowych środków zabezpieczających, takich jak monitorowanie i ograniczenie dostępu do tras wtyczek.
Oryginalny opis (angielski, źródło NVD)
OpenClaw versions 2026.3.7 before 2026.3.11 contain an authorization bypass vulnerability where plugin subagent routes execute gateway methods through a synthetic operator client with broad administrative scopes. Remote unauthenticated requests to plugin-owned routes can invoke runtime.subagent methods to perform privileged gateway actions including session deletion and agent execution.

