CVE-2026-43578
KrytyczneStreszczenie
Wersje OpenClaw 2026.3.31 przed 2026.4.10 zawierają podatność na eskalację uprawnień, w której detekcja obniżenia właściciela heartbeat pomija lokalne zdarzenia zakończenia asynchronicznego wykonania w tle. Atakujący mogą wykorzystać tę lukę, dostarczając nieufne treści zakończenia, co pozwala na uruchomienie w bardziej uprzywilejowanym kontekście niż zamierzono.
Ocena ryzyka
Organizacje mogą być narażone na nieautoryzowany dostęp do bardziej uprzywilejowanych zasobów, co może prowadzić do poważnych naruszeń bezpieczeństwa i utraty danych.
Rekomendacja
Zaleca się aktualizację OpenClaw do wersji 2026.4.10 lub nowszej, aby usunąć tę podatność oraz wdrożenie dodatkowych środków zabezpieczających w celu monitorowania i ograniczenia dostępu do systemu.
Oryginalny opis (angielski, źródło NVD)
OpenClaw versions 2026.3.31 before 2026.4.10 contain a privilege escalation vulnerability where heartbeat owner downgrade detection misses local background async exec completion events. Attackers can exploit this by providing untrusted completion content to leave a run in a more privileged context than intended.

