Katalog CVE

CVE-2026-53821

WysokieCVSS 8.8
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.28%

Percentyl 20 - wyżej niż 20% wszystkich znanych CVE

Streszczenie

OpenClaw przed wersją 2026.5.18 akceptuje zakresy operatorów zadeklarowane przez klientów WebSocket przed powiązaniem z zatwierdzonym przez serwer parowaniem lub autoryzacją zaufanego proxy. Klienci UI Control, którzy nie są sparowani lub mają ograniczone zaufanie, mogą uzyskać uprawnienia operator.admin na aktywnych połączeniach WebSocket.

Ocena ryzyka

Organizacja może być narażona na nieautoryzowany dostęp do funkcji administracyjnych, co może prowadzić do poważnych naruszeń bezpieczeństwa. Wykorzystanie tej podatności może umożliwić atakującym wykonanie zdalnych wywołań procedur (RPC) z uprawnieniami administratora.

Rekomendacja

Zaleca się aktualizację OpenClaw do wersji 2026.5.18 lub nowszej, aby zlikwidować tę podatność. Dodatkowo, należy przeprowadzić audyt konfiguracji zaufanych proxy oraz kontrolować dostęp do interfejsu administracyjnego.

Oryginalny opis (angielski, źródło NVD)

OpenClaw before 2026.5.18 accepts WebSocket client-declared operator scopes before binding to server-approved pairing or trusted-proxy authorization baseline. Unpaired or restricted trusted-proxy Control UI clients can obtain cached operator.admin authority on live WebSocket connections to execute admin-gated Gateway RPCs.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS