Katalog CVE

CVE-2026-53809

NiskieCVSS 3.8
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.01%

Percentyl 2 — wyżej niż 2% wszystkich znanych CVE

Streszczenie

OpenClaw w wersjach przed 2026.4.25 zawiera lukę w polityce, która pozwala na obejście zasad wbudowanego runnera. Umożliwia to atakującym porównywanie aliasów dostawców zamiast ich kanonicznych tożsamości, co może prowadzić do nieautoryzowanego dostępu do narzędzi.

Ocena ryzyka

Organizacje mogą być narażone na nieautoryzowany dostęp do funkcji, które powinny być ograniczone przez polityki dostawców. Wykorzystanie tej luki może prowadzić do poważnych naruszeń bezpieczeństwa.

Rekomendacja

Zaleca się aktualizację OpenClaw do wersji 2026.4.25 lub nowszej, aby usunąć tę lukę. Należy również przeanalizować i dostosować polityki dostępu w celu zminimalizowania ryzyka.

Oryginalny opis (angielski, źródło NVD)

OpenClaw before 2026.4.25 contains a policy bypass vulnerability in embedded runner policy that allows requests using provider aliases to compare against aliases instead of canonical provider identities. Attackers can exploit this confusion to select bundled tool access outside intended provider policy restrictions when the affected feature is enabled.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS