CVE-2026-32975
KrytyczneStreszczenie
OpenClaw przed wersją 2026.3.12 zawiera słabą podatność na autoryzację w trybie listy dozwolonych użytkowników Zalouser, która dopasowuje zmienne nazwy grup wyświetlania zamiast stabilnych identyfikatorów grup. Atakujący mogą tworzyć grupy o identycznych nazwach dozwolonych grup, aby obejść autoryzację kanału.
Ocena ryzyka
Organizacje mogą być narażone na nieautoryzowane przesyłanie wiadomości z niezamierzonych grup, co może prowadzić do wycieku informacji lub nieautoryzowanego dostępu do danych.
Rekomendacja
Zaleca się aktualizację OpenClaw do wersji 2026.3.12 lub nowszej oraz przegląd polityki autoryzacji, aby zapewnić, że identyfikatory grup są stabilne i niezmienne.
Oryginalny opis (angielski, źródło NVD)
OpenClaw before 2026.3.12 contains a weak authorization vulnerability in Zalouser allowlist mode that matches mutable group display names instead of stable group identifiers. Attackers can create groups with identical names to allowlisted groups to bypass channel authorization and route messages from unintended groups to the agent.

