CVE-2026-53816
WysokieCVSS 7.2Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 13 - wyżej niż 13% wszystkich znanych CVE
Streszczenie
OpenClaw przed wersją 2026.5.18 zawiera lukę w walidacji pochodzenia w obsłudze zdarzeń węzłów, która pozwala sparowanym węzłom na fałszowanie zdarzeń cyklu życia exec bez autoryzacji system.run. Złośliwy lub skompromitowany sparowany węzeł może wysyłać spreparowane wiadomości node.event do bramy.
Ocena ryzyka
Luka ta może prowadzić do nieautoryzowanego dostępu do funkcji, które nie powinny być dostępne dla zredukowanej powierzchni węzła, co stwarza poważne zagrożenie dla bezpieczeństwa systemu.
Rekomendacja
Zaleca się aktualizację OpenClaw do wersji 2026.5.18 lub nowszej, aby usunąć tę lukę oraz monitorowanie komunikacji między węzłami w celu wykrycia potencjalnych ataków.
Oryginalny opis (angielski, źródło NVD)
OpenClaw before 2026.5.18 contains an insufficient provenance validation vulnerability in node event handling that allows paired nodes to forge exec lifecycle events without system.run authorization. A malicious or compromised paired node can send crafted node.event messages to the gateway, steering target sessions into exec-event paths that expose capabilities the reduced node surface should not provide.

