CVE-2026-53814
WysokieCVSS 8.3Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 13 - wyżej niż 13% wszystkich znanych CVE
Streszczenie
OpenClaw w wersjach przed 2026.5.20 zawiera podatność na eskalację uprawnień, w której agenci wywoływani przez hooki otrzymują niewłaściwe uprawnienia. Atakujący z ważnym tokenem hooka mogą wykorzystać punkt końcowy /hooks/agent, aby uzyskać dostęp do narzędzi MCP przeznaczonych tylko dla właściciela.
Ocena ryzyka
Podatność ta może umożliwić atakującym wykonywanie uprzywilejowanych działań, takich jak modyfikacje stanu cron, co stwarza poważne zagrożenie dla bezpieczeństwa systemu.
Rekomendacja
Zaleca się aktualizację OpenClaw do wersji 2026.5.20 lub nowszej, aby usunąć tę podatność oraz monitorowanie dostępu do punktu końcowego /hooks/agent.
Oryginalny opis (angielski, źródło NVD)
OpenClaw before 2026.5.20 contains a privilege escalation vulnerability where hook-triggered agent runs incorrectly receive owner-scoped MCP loopback authority instead of hook-appropriate scope. Attackers with a valid hook token can exploit the /hooks/agent endpoint to cause spawned CLI runtimes to access or invoke owner-only MCP tools, potentially executing privileged actions like persistent cron state modifications.

