CVE-2026-53810
WysokieCVSS 8.8Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 18 - wyżej niż 18% wszystkich znanych CVE
Streszczenie
OpenClaw przed wersją 2026.5.18 zawiera podatność na wykonanie kodu, gdzie metadane rozszerzenia runtime rynku mogą przekierować ładowanie do nieprzeskanowanych ładunków pakietów. Atakujący z dostępem operatora zaufanego mogą manipulować metadanymi rozszerzenia, aby ładować kod wtyczki poza przeglądanymi punktami wejścia pakietu, omijając skanowanie bezpieczeństwa.
Ocena ryzyka
Podatność ta stwarza ryzyko dla organizacji, umożliwiając atakującym uruchamianie nieautoryzowanego kodu, co może prowadzić do poważnych naruszeń bezpieczeństwa. Manipulacja metadanymi może skutkować wprowadzeniem złośliwego oprogramowania do środowiska produkcyjnego.
Rekomendacja
Zaleca się aktualizację OpenClaw do wersji 2026.5.18 lub nowszej, aby usunąć tę podatność. Dodatkowo, należy przeprowadzić audyt dostępu operatorów zaufanych oraz monitorować wszelkie zmiany w metadanych rozszerzeń.
Oryginalny opis (angielski, źródło NVD)
OpenClaw before 2026.5.18 contains a code execution vulnerability where marketplace runtime extension metadata can redirect loading toward unscanned package payloads. Attackers with trusted operator access can manipulate extension metadata to load plugin code outside reviewed package entry points, bypassing security scanning.

