CVE-2026-44109
KrytyczneStreszczenie
OpenClaw przed wersją 2026.4.15 zawiera lukę w autoryzacji w walidacji webhooków Feishu i akcji kart, która pozwala na nieautoryzowane żądania docierające do dyspozycji poleceń. Brak konfiguracji encryptKey oraz puste tokeny zwrotne powodują, że system nie odrzuca żądań, co umożliwia atakującym ominięcie weryfikacji podpisu i ochrony przed powtórnym użyciem w celu wykonania dowolnych poleceń.
Ocena ryzyka
Luka ta stwarza poważne ryzyko dla organizacji, umożliwiając atakującym wykonywanie dowolnych poleceń bez autoryzacji. Może to prowadzić do nieautoryzowanego dostępu do systemów i danych.
Rekomendacja
Zaleca się aktualizację OpenClaw do najnowszej wersji, aby usunąć tę lukę. Dodatkowo, należy skonfigurować encryptKey oraz zapewnić, że tokeny zwrotne nie są puste.
Oryginalny opis (angielski, źródło NVD)
OpenClaw before 2026.4.15 contains an authentication bypass vulnerability in Feishu webhook and card-action validation that allows unauthenticated requests to reach command dispatch. Missing encryptKey configuration and blank callback tokens fail open instead of rejecting requests, enabling attackers to bypass signature verification and replay protection to execute arbitrary commands.

