CVE-2026-53820
ŚrednieCVSS 6.6Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 1 — wyżej niż 1% wszystkich znanych CVE
Streszczenie
OpenClaw przed wersją 2026.5.12 zawiera lukę umożliwiającą obejście listy zakazów wykonywania w ścieżce sesji MCP loopback, co pozwala uwierzytelnionym użytkownikom na ominięcie zamierzonych ograniczeń poleceń.
Ocena ryzyka
Atakujący mogą uzyskać dostęp do dotkniętej ścieżki sesji MCP, co pozwala na uruchamianie sesji z szerszym zakresem poleceń niż zamierzono, co stwarza poważne zagrożenie dla bezpieczeństwa systemu.
Rekomendacja
Zaleca się aktualizację OpenClaw do wersji 2026.5.12 lub nowszej, aby usunąć tę lukę oraz wprowadzenie dodatkowych środków kontroli dostępu.
Oryginalny opis (angielski, źródło NVD)
OpenClaw before 2026.5.12 contains an exec denylist bypass vulnerability in the bundle MCP loopback session-spawn path that allows authenticated callers to bypass intended command restrictions. Attackers can reach the affected bundled MCP session-spawn path to start sessions with broader command reach than intended.

