Katalog CVE

CVE-2026-35630

WysokieCVSS 8.0
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Streszczenie

OpenClaw przed wersją 2026.5.18 zawiera lukę w autoryzacji, która pozwala użytkownikom bez uprawnień na klikanie przycisków zatwierdzania w QQBot. Luka ta nie egzekwuje tożsamości zatwierdzającego, co umożliwia nieautoryzowanym użytkownikom rozwiązywanie oczekujących wniosków o zatwierdzenie wykonania lub wtyczki.

Ocena ryzyka

Organizacja może być narażona na nieautoryzowane działania, co może prowadzić do niekontrolowanego dostępu do funkcji zatwierdzania. To zwiększa ryzyko wprowadzenia nieautoryzowanych zmian w systemie.

Rekomendacja

Zaleca się aktualizację OpenClaw do wersji 2026.5.18 lub nowszej, aby usunąć tę lukę. Dodatkowo warto przeprowadzić audyt uprawnień użytkowników, aby zapewnić odpowiednią kontrolę dostępu.

Oryginalny opis (angielski, źródło NVD)

OpenClaw before 2026.5.18 contains an authorization bypass vulnerability in QQBot native approval buttons that fails to enforce configured approver identity. Non-approver users can click approval buttons to resolve pending exec or plugin approval requests without proper authorization.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS