CVE-2026-35630
WysokieCVSS 8.0Streszczenie
OpenClaw przed wersją 2026.5.18 zawiera lukę w autoryzacji, która pozwala użytkownikom bez uprawnień na klikanie przycisków zatwierdzania w QQBot. Luka ta nie egzekwuje tożsamości zatwierdzającego, co umożliwia nieautoryzowanym użytkownikom rozwiązywanie oczekujących wniosków o zatwierdzenie wykonania lub wtyczki.
Ocena ryzyka
Organizacja może być narażona na nieautoryzowane działania, co może prowadzić do niekontrolowanego dostępu do funkcji zatwierdzania. To zwiększa ryzyko wprowadzenia nieautoryzowanych zmian w systemie.
Rekomendacja
Zaleca się aktualizację OpenClaw do wersji 2026.5.18 lub nowszej, aby usunąć tę lukę. Dodatkowo warto przeprowadzić audyt uprawnień użytkowników, aby zapewnić odpowiednią kontrolę dostępu.
Oryginalny opis (angielski, źródło NVD)
OpenClaw before 2026.5.18 contains an authorization bypass vulnerability in QQBot native approval buttons that fails to enforce configured approver identity. Non-approver users can click approval buttons to resolve pending exec or plugin approval requests without proper authorization.

