CVE-2026-43566
KrytyczneStreszczenie
Wersje OpenClaw 2026.4.7 przed 2026.4.14 zawierają podatność na eskalację uprawnień, w której logika obniżania uprawnień właściciela pomija zdarzenia webhook wake zawierające nieufne treści. Atakujący mogą wykorzystać tę lukę, wysyłając nieufne zdarzenia webhook wake, aby zachować kontekst wykonania podobny do właściciela, gdy powinno nastąpić obniżenie uprawnień.
Ocena ryzyka
Podatność ta może prowadzić do nieautoryzowanego dostępu do zasobów systemowych, co stwarza poważne zagrożenie dla bezpieczeństwa organizacji. Atakujący mogą uzyskać uprawnienia, które nie powinny być im przyznane.
Rekomendacja
Zaleca się aktualizację OpenClaw do wersji 2026.4.14 lub nowszej, aby usunąć tę podatność. Dodatkowo, warto przeprowadzić audyt zabezpieczeń webhooków w celu zminimalizowania ryzyka.
Oryginalny opis (angielski, źródło NVD)
OpenClaw versions 2026.4.7 before 2026.4.14 contain a privilege escalation vulnerability where heartbeat owner downgrade logic skips webhook wake events carrying untrusted content. Attackers can exploit this by sending untrusted webhook wake events to preserve owner-like execution context when the run should have been downgraded.

