Katalog CVE

CVE-2026-53814

WysokieCVSS 8.3
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.04%

Percentyl 13 - wyżej niż 13% wszystkich znanych CVE

Streszczenie

OpenClaw w wersjach przed 2026.5.20 zawiera podatność na eskalację uprawnień, w której agenci wywoływani przez hooki otrzymują niewłaściwe uprawnienia. Atakujący z ważnym tokenem hooka mogą wykorzystać punkt końcowy /hooks/agent, aby uzyskać dostęp do narzędzi MCP przeznaczonych tylko dla właściciela.

Ocena ryzyka

Podatność ta może umożliwić atakującym wykonywanie uprzywilejowanych działań, takich jak modyfikacje stanu cron, co stwarza poważne zagrożenie dla bezpieczeństwa systemu.

Rekomendacja

Zaleca się aktualizację OpenClaw do wersji 2026.5.20 lub nowszej, aby usunąć tę podatność oraz monitorowanie dostępu do punktu końcowego /hooks/agent.

Oryginalny opis (angielski, źródło NVD)

OpenClaw before 2026.5.20 contains a privilege escalation vulnerability where hook-triggered agent runs incorrectly receive owner-scoped MCP loopback authority instead of hook-appropriate scope. Attackers with a valid hook token can exploit the /hooks/agent endpoint to cause spawned CLI runtimes to access or invoke owner-only MCP tools, potentially executing privileged actions like persistent cron state modifications.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS