Katalog CVE

CVE-2026-53807

WysokieCVSS 8.8
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.04%

Percentyl 14 - wyżej niż 14% wszystkich znanych CVE

Streszczenie

OpenClaw przed wersją 2026.5.6 zawiera lukę w autoryzacji w interaktywnych wywołaniach Telegrama, która pozwala uwierzytelnionym użytkownikom na ominięcie walidacji commands.allowFrom. Atakujący mogą wywołać dotknięte wywołania, aby oznaczyć siebie jako autoryzowanych nadawców przed zastosowaniem kontroli listy dozwolonych, co powoduje uruchomienie zachowań komend poza skonfigurowanymi ograniczeniami nadawców Telegrama.

Ocena ryzyka

Luka ta może prowadzić do nieautoryzowanego dostępu do funkcji systemu, co stwarza ryzyko nadużyć i potencjalnych ataków na organizację. Umożliwia to atakującym działanie w sposób, który omija zabezpieczenia, co może prowadzić do poważnych konsekwencji.

Rekomendacja

Zaleca się aktualizację OpenClaw do wersji 2026.5.6 lub nowszej, aby usunąć tę lukę. Dodatkowo, warto przeprowadzić audyt zabezpieczeń, aby zidentyfikować i zminimalizować ryzyko związane z tą podatnością.

Oryginalny opis (angielski, źródło NVD)

OpenClaw before 2026.5.6 contains an authorization bypass vulnerability in Telegram interactive callbacks that allows authenticated users to skip commands.allowFrom validation. Attackers can invoke affected callbacks to mark themselves as authorized senders before allowlist checks are applied, triggering command behavior outside configured Telegram sender restrictions.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS