Katalog CVE

CVE-2026-53808

ŚrednieCVSS 6.5
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.03%

Percentyl 10 — wyżej niż 10% wszystkich znanych CVE

Streszczenie

OpenClaw w wersjach przed 2026.5.6 zawiera lukę umożliwiającą obejście polityki zatwierdzania w procesie aplikacji w Skill Workshop. Umożliwia to atakującym wywołanie narzędzi agenta, które mogą ustawić apply: true mimo konfiguracji approvalPolicy: pending.

Ocena ryzyka

Atakujący mogą wykorzystać tę lukę, aby wprowadzać zmiany w warsztacie przed oczekiwanym krokiem zatwierdzenia, co prowadzi do modyfikacji konfiguracji bez odpowiednich uprawnień.

Rekomendacja

Zaleca się aktualizację OpenClaw do wersji 2026.5.6 lub nowszej, aby usunąć tę lukę. Należy również przeprowadzić audyt polityki zatwierdzania i monitorować wszelkie nieautoryzowane zmiany.

Oryginalny opis (angielski, źródło NVD)

OpenClaw before 2026.5.6 contains an approval policy bypass vulnerability in the Skill Workshop apply flow that allows agent tool calls to set apply: true despite approvalPolicy: pending configuration. Attackers can exploit this by reaching the affected apply path to apply workshop changes before the expected approval step, potentially modifying configurations without proper authorization.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS