CVE-2026-53811
WysokieCVSS 8.8Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 11 - wyżej niż 11% wszystkich znanych CVE
Streszczenie
OpenClaw przed wersją 2026.5.7 zawiera podatność na eskalację uprawnień w funkcji allowFrom w Matrix, która pozwala uwierzytelnionym kontom na dopasowywanie wpisów polityki poprzez modyfikowalne metadane nazwy wyświetlanej. Atakujący, którzy mają możliwość zmiany nazw wyświetlanych, mogą uzyskać dostęp agenta przeznaczony dla innej tożsamości Matrix.
Ocena ryzyka
Organizacje mogą być narażone na nieautoryzowany dostęp do zasobów, co może prowadzić do poważnych naruszeń bezpieczeństwa w zależności od konfiguracji operatora.
Rekomendacja
Zaleca się aktualizację OpenClaw do wersji 2026.5.7 lub nowszej oraz przegląd polityk dostępu, aby ograniczyć możliwość zmiany nazw wyświetlanych przez użytkowników.
Oryginalny opis (angielski, źródło NVD)
OpenClaw before 2026.5.7 contains a privilege escalation vulnerability in the Matrix allowFrom feature that allows authenticated accounts to match policy entries through mutable display name metadata. Attackers with the ability to change display names can receive agent access intended for another Matrix identity, potentially gaining unauthorized permissions depending on operator configuration.

