Katalog CVE

CVE-2026-43578

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

Wersje OpenClaw 2026.3.31 przed 2026.4.10 zawierają podatność na eskalację uprawnień, w której detekcja obniżenia właściciela heartbeat pomija lokalne zdarzenia zakończenia asynchronicznego wykonania w tle. Atakujący mogą wykorzystać tę lukę, dostarczając nieufne treści zakończenia, co pozwala na uruchomienie w bardziej uprzywilejowanym kontekście niż zamierzono.

Ocena ryzyka

Organizacje mogą być narażone na nieautoryzowany dostęp do bardziej uprzywilejowanych zasobów, co może prowadzić do poważnych naruszeń bezpieczeństwa i utraty danych.

Rekomendacja

Zaleca się aktualizację OpenClaw do wersji 2026.4.10 lub nowszej, aby usunąć tę podatność oraz wdrożenie dodatkowych środków zabezpieczających w celu monitorowania i ograniczenia dostępu do systemu.

Oryginalny opis (angielski, źródło NVD)

OpenClaw versions 2026.3.31 before 2026.4.10 contain a privilege escalation vulnerability where heartbeat owner downgrade detection misses local background async exec completion events. Attackers can exploit this by providing untrusted completion content to leave a run in a more privileged context than intended.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS