CVE-2026-53821
WysokieCVSS 8.8Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 20 - wyżej niż 20% wszystkich znanych CVE
Streszczenie
OpenClaw przed wersją 2026.5.18 akceptuje zakresy operatorów zadeklarowane przez klientów WebSocket przed powiązaniem z zatwierdzonym przez serwer parowaniem lub autoryzacją zaufanego proxy. Klienci UI Control, którzy nie są sparowani lub mają ograniczone zaufanie, mogą uzyskać uprawnienia operator.admin na aktywnych połączeniach WebSocket.
Ocena ryzyka
Organizacja może być narażona na nieautoryzowany dostęp do funkcji administracyjnych, co może prowadzić do poważnych naruszeń bezpieczeństwa. Wykorzystanie tej podatności może umożliwić atakującym wykonanie zdalnych wywołań procedur (RPC) z uprawnieniami administratora.
Rekomendacja
Zaleca się aktualizację OpenClaw do wersji 2026.5.18 lub nowszej, aby zlikwidować tę podatność. Dodatkowo, należy przeprowadzić audyt konfiguracji zaufanych proxy oraz kontrolować dostęp do interfejsu administracyjnego.
Oryginalny opis (angielski, źródło NVD)
OpenClaw before 2026.5.18 accepts WebSocket client-declared operator scopes before binding to server-approved pairing or trusted-proxy authorization baseline. Unpaired or restricted trusted-proxy Control UI clients can obtain cached operator.admin authority on live WebSocket connections to execute admin-gated Gateway RPCs.

